不要再用生日當密碼了！簡單兩招讓你的密碼安全又方便

文：Gromit Wong

或許你沒料到，被資訊安全業界公認其中一種最弱的保安機制（one of the weakest security mechanisms available ），竟是我們無時無刻都在用的密碼。「最弱」並非指密碼本身易被人破解—如4小寫、4大寫加 2 個數字組成的密碼，運算能力達每秒1000億密碼組合的電腦，仍可能要3.25個月才猜中—而是以密碼形式認證所產生的副作用，反令用戶更不安全。

你想過自己持有多少帳戶嗎？你家和辦公室的電腦、網路銀行、E-Mail、社交網絡、網路商店⋯⋯等等等等，沒上千也該上百，又多又難記，不難想像我們會怎樣應付⋯⋯如 12345678、統一密碼、寫在紙上，說到底因為密碼並非「最友善」的設計，只不過實施成本最低，才一直被沿用。

使用「密碼保險庫」

資安業界（或有可能整個IT業）都想淘汰密碼這機制。但在可見時日，我們仍需與密碼共存，甚至愈來愈多密碼被產生。怎麼辦才好？要沒副作用又令帳戶更安全，並不是沒法子的，只要記着「保險庫」這概念便行：密碼不用記，都放進保險庫，你要記的只是開啓保險庫的「主鑰匙」密碼（master key），當要登入哪個帳戶，便憑主鑰匙開啓保險庫取用密碼。

怎樣做呢？其實市面上已有相關產品，用哪種便看你的需要：

線上密碼管理員：服務商讓你把密碼儲存於他們的伺服器，並提供外掛讓你在不同平台及瀏覽器取用密碼，比如說LastPass、Sticky Password等等，當然也有其他選擇。

假如使用Mac，本身內置的鑰匙圈（keychain）功能其實就是密碼保險庫。

Chrome配合Google帳戶的密碼同步功能：透過登入Google帳戶，把密碼上傳到Google伺服器，於其他裝置的Chrome瀏覽器取用密碼。

當然密碼保險庫的問題是，只要你保險庫被破，所有的密碼也都會外洩，不過這點也可以透過下面提到的雙重認證來加強保護。

你的電子郵件才是「弱點」，請考慮「雙重認證」

現時登記網路服務都會要求輸入email地址。如果你忘記了密碼，你可透過該email地址取回或重設密碼。假如這個帳戶被人入侵，不難想像你登記過的服務也會出事。用作登記的email帳號最好設一個難猜的密碼。怎樣的密碼算難猜？前述例子可作參考，即起碼要4小寫、4大寫、2數字組成共10個字元的密碼。密碼的「安全」程度更取決於長度，因此你應該選用較易記而很長的密碼，而非較短而難記的字詞。

假如你還嫌不夠安全，可考慮使用「雙重認證」（如服務廠商有提供的話）。登入email時，除了輸入密碼，你還會收到手機簡訊，要輸入簡訊內的另一組密碼才能登入。

對於手機，當然也有被入侵的風險，但我認為更易發生的問題是你忘了帶、沒網路或丟失SIM卡。因此使用雙重認證前，要考慮是否容易查閱手機簡訊，又或沒手機時服務商能否提供「後路」。

12345678也不錯

最後想談一下相同和易記密碼的問題。專家們都會勸用戶別用相同密碼於不同帳戶，密碼不要太簡單。想深一層，為不同服務都設一個難記密碼。真有需要嗎？例如訂閱推銷郵件，也要跟你的銀行密碼一樣安全？假如你肯定該服務被人入侵，也不會洩漏你的重要資料或損失金錢，索性用些易記的密碼，只要不和你最重要的帳戶密碼相同，別人知你用12345678又如何。

註1：p192, CISSP All-in-One Exam Guide, 6th Edition

作者簡介：

從事 IT 工作，致力於運用科技和職場改善生活，達至「個人化」。

相關文章：

• 安全的密碼很難記？不妨寫首小詩

責任編輯：楊士範
核稿編輯：楊之瑜