以密碼保護電腦或行動裝置的使用,是基本的安全措施,但使用者也必須啟用相關的功能,才能避免在離開時,讓有心人士有機會操作。一種方式是使用者在離開座位時,自行執行螢幕鎖定功能,另一種則是採取事先設定裝置,在閒置超過一段時間後自動鎖定,以免使用者臨時忘記手動啟用。

圖片來源: 

iThome

一般來說,我們最常驗證身分的方法,就是密碼。使用者輸入了正確的密碼,即代表通過帳號的所有人驗證,便能執行各項的操作,以提款機來說,使用者插入卡片並輸入正確的密碼,才能運用戶頭裡的存款。

在公司行號來說,每個員工所需管理的帳號,從電子郵件信箱、企業的應用程式(如ERP系統)、PC、印表機,以及業務會接觸到的機密檔案,光是這樣,就至少有4到5組帳號密碼。這還不包含許多公司採用網路資料夾共享檔案,或是如果公司提供員工專用的無線網路,事實上,這些Wi-Fi的SSID與連線密碼,由於只有開放給員工使用,用戶也應該要一併納入保管,不能拿給其他人使用。

此外,員工通常會有自己的手機,以及額外使用其他的線上服務,像是Gmail、Dropbox、Slack等等,這些帳號的背後,都代表了某位職員(Wi-Fi連線密碼的部分,則是代表這間公司的員工),因此,一個職員所需保管的帳號數量,其實非常的多。

對於這些身邊隨處都有,需要經由身分認證才能使用的自動化系統,使用者若是資安意識不足,自然不認為與他人共用認證其實是相當嚴重的問題。就好像上班代替他人打卡,無論打卡的形式為何,實際上就是冒用另一個人身分的行為。

雖然,這麼多的身分認證方式中,最常見的其實還是透過帳號與密碼,其他常見的驗證方法,像是感應卡,包含許多公司的門禁卡,以及每個人都有的健保卡等,也都是一種能夠檢驗身分的憑證。由於這些驗證方法的背後,都代表著確認使用者的身分,一旦這道關卡遭到破解、冒用,有心人士便能為所欲為。

為了維護電腦的安全性,使用者應定期更換密碼,方法其實也不難,在Windows電腦中,按下Ctrl+Alt+Del,就會出現變更密碼的項目,點選之後使用者再依據指示操作,即可完成更換密碼的作業,下次再登入電腦時,就要輸入新的密碼進行驗證。

容易遭到破解的5大密碼類型

然而,大量的帳號驗證資訊,就像一大串鑰匙,也衍生出相關管理的問題,特別是密碼,與感應卡、鑰匙、動態密碼產生器等實體驗證設備不同的是,使用者必須在容易記得住的密碼,以及不易遭到破解、猜到的設定中取捨,許多人為了能便於管理,往往選擇前者,而犧牲密碼安全性,不是使用非常容易被猜到的密碼,就是一組密碼走天下,導致社群網站發生大量帳號資料遭竊時,這些使用者在其他網站的帳號,也相繼遭到冒用。

我們整理了極為容易遭到破解的5種密碼,對於使用者而言,應該儘量避免採取這些方式設定:

1.只有數字組成、或依照鍵盤順序排列的懶人密碼

不少人為了容易記憶,選擇像是123456這種只有以數字組成的密碼,對於電腦的使用者而言,輸入密碼使用10個數字區按鍵就能完成。然而,單純採用數字組成的密碼,遭到破解成功的機率,遠大於同時混合大小寫字母與符號的密碼。

另一種看似沒有意義,卻很容易遭到拆解的密碼,就是採用依據鍵盤位置,橫向或直向依序輸入的英數字,例如qwerty、1qaz2wsx等。這種做法對於電腦的使用者而言,或許不太需要記憶,但由於有規則可循,因此也是相當容易被有心人士猜到。

2.未更換系統提供的預設密碼

針對家中常見的無線分享器、企業中的交換器等網路設備,許多廠商為了讓用戶設定簡便,設備出廠的預設帳號密碼往往可能是admin和password,甚至也有兩者都是admin的設定。如果使用者不加以修改密碼,有心人士便很容易取得設備的控制權。

此外,這些常見的預設密碼,使用者若是直接拿來在其他應用程式上運用,也同樣會有安全疑慮。此外,雖然有些設備出廠提供的預設密碼,是以亂數組成,安全性較高,不過,因為這類密碼預設值,通常也會貼在設備上,若是部署時沒有更換密碼,也難保其他進出機房的人員得知,取得設備的控制權。

3.密碼中含有個人資訊

另一個設定密碼的禁忌,就是與個人有關,包含生日、家人(尤其是另一半或寵物)的名字等,由於這些與使用者有關的資訊,也可能變成有心人士猜測密碼的方向,因此必須避免。

4.直接使用英文字典中的單字當作密碼

對於駭客而言,這些單字形同有規則的排列方式,因此一旦他們納入暴力破解的規則之中,這些人找出密碼的機會便大幅增加。

5.多個系統和網站都使用同一組密碼

光是整整2016一整年,駭客組織OurMine藉由之前外洩的LinkedIn使用者資料庫,已經駭入不少明星、球員、CEO等知名公眾人物的Twitter、Instagram,以及Pinterest等社群網站帳號,顯示在大量帳號的管理需求下,使用者在申請帳號時,雖然很可能必須依照網站的要求,設定高強度複雜密碼,在符合這些前提之下,為了好記,乾脆統一設定為相同的密碼,但這樣做的結果,有可能其中一個網站遭駭時,使用者採用的其他服務,也可能會連帶受到波及。

由於行動裝置多數為員工自行持有,因此並未如公司的電腦,強制要求以密碼保護。但這些手機或是平板電腦,仍擁有大量個人資訊,因此,使用者仍需要啟用螢幕鎖定時的防護機制,以圖中的LG G4手機而言,除了一般的密碼和PIN碼之外,也可選用圖形解鎖的方式驗證。

對於不曉得如何設定複雜度較高的使用者來說,市面上有不少的應用程式或是網頁,能夠協助隨機產生這種類型的密碼,免除使用者自行建立的困擾。但相對來說,這種完全沒有規則的密碼也伴隨著難以記憶的問題,必須透過密碼管理軟體等措施加以列管。

4大步驟,設定可記憶的強式密碼家族

基本上,密碼應該要有一定的複雜程度,讓有心人士難以破解,相信大部分的使用者都能認同,例如密碼越長越好、長度不能少於8個字元、必須混合大小寫英文字母、數字與符號...等,然而,每一組密碼都必須設定這麼複雜,相對的也同時考驗著使用者的記憶力,難道就只能寫下來,才能避免自己忘記嗎?

將密碼寫下來,或是透過Excel檔案、密碼管理軟體儲存,當然也是可行的方法,但前者必須與登錄的設備分開存放(例如,電腦開機密碼不能直接貼在螢幕上),若是Excel檔案,則必須採取加密措施管制。但在管理大量密碼的需求下,有沒有更好的做法能夠因應?

如果從密碼建立的規則下手,不只對自己而言,有規則可循,我們也能藉此打造一系列可記憶的密碼。大致上的步驟可區分為兩個階段,首先,我們必須先建立一組複雜度高的密碼,再延伸產生各類型服務專用密碼,步驟如下:

1.選取一個自己能夠記憶的字串

基本上,想要有系統的打造一個密碼,我們可透過幾種方式出發:一種是選用英文單字(以下我們用ithome為例),如果你的英文不錯,也可以選用一個短句開始,像是I love ithome。

此外,我們也可以透過慣用中文的輸入法,做為密碼字串的來源,以「電週文化」四個字為例,注音輸入法的編碼是2u045.jp6cj4,嘸蝦米則是uqlnyowwxpfl。不過,值得留意的是,如果採用注音輸入法做為字串的來源,遇到鍵盤沒有注音與英文字母兩者都標註,供使用者對照的情況(例如,行動裝置的虛擬鍵盤),使用者就必須熟記注音所對應的英文字母,或是符號位置。

2.安插與替換數字和符號

一般來說,許多英文單字不一定能達到強式密碼所需的長度,因此,我們可接著將原來的字串,加入一些數字與符號;如果是短句,則可以省去其中的幾個字,再使用數字和符號替換。至於採用輸入法取得的原始字串,則可兼用替換或是額外加字的方式修改,增加密碼的複雜程度:

● 以英文單字ithome為例 → it 5@#6 home

● 以英文短句I love ithome為例 → 1lovi7h*me

● 以注音輸入法輸入「電週文化」的字串2u045.jp6cj4為例 → 2u045.6&jp6cj4

● 以嘸蝦米輸入法輸入「電週文化」的字串uqlnyowwxpfl為例 → uq1n90wwxpf)

3.調整部分英文字母為大寫

透過前述的方法,我們已經得到一個包含英文字母、數字與符號的密碼,只需調整部分字母為大寫,以符合強式密碼同時需要大小寫字母的要求:

● 以英文單字ithome為例 → iT5@#6hOMe

● 以英文短句I love ithome為例 → 1lOVvi7h*mE

●以注音輸入法輸入「電週文化」的字串為例 → 2U045.6&

jp6CJ4

● 以嘸蝦米輸入法輸入「電週文化」的字串為例 → UQ1n 90wwxPF)

4.套用各網站服務的關鍵字串

你一定會問,這樣的密碼雖然有規則可循,但是該怎麼將一個變成多個呢?其實,我們可在剛才產生的密碼中間,穿插自己可識別該網站或是應用程式的字串,就能加以區隔,建立不同的密碼。

以下的範例,我們透過剛才使用單字法產生的密碼「iT5@#6hOMe」進行修改:

● 用於Gmail信箱:iT5@#6hOMgm@e

● 用於Facebook網站:iT5@#6hOMf8e

● 用於Line App:iT5@#6hOMlie

如此一來,一組強式密碼就能延伸出多種版本,對於使用者來說,實際上,這時需要記憶的,是一組密碼再加上不同的補助字串,藉此大幅減輕個人的管理負擔。另外,未來若想要定期更換密碼時,透過這個模式產生的密碼組合,也比較方便使用者能全數盤點及汰換。

使用像Gmail、Facebook、Dropbox等網站服務,由於業者會提供用戶帳號,若是使用者更換密碼時,系統便會連帶教育,提醒如何設定較為安全的密碼,使用者也能藉此得知目前想要更換的新密碼的強度,需要朝那些方向修正,才能提高其安全性。


Advertisement

更多 iThome相關內容