密碼安全管理大作戰

一般來說，我們最常驗證身分的方法，就是密碼。使用者輸入了正確的密碼，即代表通過帳號的所有人驗證，便能執行各項的操作，以提款機來說，使用者插入卡片並輸入正確的密碼，才能運用戶頭裡的存款。

在公司行號來說，每個員工所需管理的帳號，從電子郵件信箱、企業的應用程式（如ERP系統）、PC、印表機，以及業務會接觸到的機密檔案，光是這樣，就至少有4到5組帳號密碼。這還不包含許多公司採用網路資料夾共享檔案，或是如果公司提供員工專用的無線網路，事實上，這些Wi-Fi的SSID與連線密碼，由於只有開放給員工使用，用戶也應該要一併納入保管，不能拿給其他人使用。

此外，員工通常會有自己的手機，以及額外使用其他的線上服務，像是Gmail、Dropbox、Slack等等，這些帳號的背後，都代表了某位職員（Wi-Fi連線密碼的部分，則是代表這間公司的員工），因此，一個職員所需保管的帳號數量，其實非常的多。

對於這些身邊隨處都有，需要經由身分認證才能使用的自動化系統，使用者若是資安意識不足，自然不認為與他人共用認證其實是相當嚴重的問題。就好像上班代替他人打卡，無論打卡的形式為何，實際上就是冒用另一個人身分的行為。

雖然，這麼多的身分認證方式中，最常見的其實還是透過帳號與密碼，其他常見的驗證方法，像是感應卡，包含許多公司的門禁卡，以及每個人都有的健保卡等，也都是一種能夠檢驗身分的憑證。由於這些驗證方法的背後，都代表著確認使用者的身分，一旦這道關卡遭到破解、冒用，有心人士便能為所欲為。

為了維護電腦的安全性，使用者應定期更換密碼，方法其實也不難，在Windows電腦中，按下Ctrl+Alt+Del，就會出現變更密碼的項目，點選之後使用者再依據指示操作，即可完成更換密碼的作業，下次再登入電腦時，就要輸入新的密碼進行驗證。

容易遭到破解的5大密碼類型

然而，大量的帳號驗證資訊，就像一大串鑰匙，也衍生出相關管理的問題，特別是密碼，與感應卡、鑰匙、動態密碼產生器等實體驗證設備不同的是，使用者必須在容易記得住的密碼，以及不易遭到破解、猜到的設定中取捨，許多人為了能便於管理，往往選擇前者，而犧牲密碼安全性，不是使用非常容易被猜到的密碼，就是一組密碼走天下，導致社群網站發生大量帳號資料遭竊時，這些使用者在其他網站的帳號，也相繼遭到冒用。

我們整理了極為容易遭到破解的5種密碼，對於使用者而言，應該儘量避免採取這些方式設定：

1.只有數字組成、或依照鍵盤順序排列的懶人密碼

不少人為了容易記憶，選擇像是123456這種只有以數字組成的密碼，對於電腦的使用者而言，輸入密碼使用10個數字區按鍵就能完成。然而，單純採用數字組成的密碼，遭到破解成功的機率，遠大於同時混合大小寫字母與符號的密碼。

另一種看似沒有意義，卻很容易遭到拆解的密碼，就是採用依據鍵盤位置，橫向或直向依序輸入的英數字，例如qwerty、1qaz2wsx等。這種做法對於電腦的使用者而言，或許不太需要記憶，但由於有規則可循，因此也是相當容易被有心人士猜到。

2.未更換系統提供的預設密碼

針對家中常見的無線分享器、企業中的交換器等網路設備，許多廠商為了讓用戶設定簡便，設備出廠的預設帳號密碼往往可能是admin和password，甚至也有兩者都是admin的設定。如果使用者不加以修改密碼，有心人士便很容易取得設備的控制權。

此外，這些常見的預設密碼，使用者若是直接拿來在其他應用程式上運用，也同樣會有安全疑慮。此外，雖然有些設備出廠提供的預設密碼，是以亂數組成，安全性較高，不過，因為這類密碼預設值，通常也會貼在設備上，若是部署時沒有更換密碼，也難保其他進出機房的人員得知，取得設備的控制權。

3.密碼中含有個人資訊

另一個設定密碼的禁忌，就是與個人有關，包含生日、家人（尤其是另一半或寵物）的名字等，由於這些與使用者有關的資訊，也可能變成有心人士猜測密碼的方向，因此必須避免。

4.直接使用英文字典中的單字當作密碼

對於駭客而言，這些單字形同有規則的排列方式，因此一旦他們納入暴力破解的規則之中，這些人找出密碼的機會便大幅增加。

5.多個系統和網站都使用同一組密碼

光是整整2016一整年，駭客組織OurMine藉由之前外洩的LinkedIn使用者資料庫，已經駭入不少明星、球員、CEO等知名公眾人物的Twitter、Instagram，以及Pinterest等社群網站帳號，顯示在大量帳號的管理需求下，使用者在申請帳號時，雖然很可能必須依照網站的要求，設定高強度複雜密碼，在符合這些前提之下，為了好記，乾脆統一設定為相同的密碼，但這樣做的結果，有可能其中一個網站遭駭時，使用者採用的其他服務，也可能會連帶受到波及。

由於行動裝置多數為員工自行持有，因此並未如公司的電腦，強制要求以密碼保護。但這些手機或是平板電腦，仍擁有大量個人資訊，因此，使用者仍需要啟用螢幕鎖定時的防護機制，以圖中的LG G4手機而言，除了一般的密碼和PIN碼之外，也可選用圖形解鎖的方式驗證。

對於不曉得如何設定複雜度較高的使用者來說，市面上有不少的應用程式或是網頁，能夠協助隨機產生這種類型的密碼，免除使用者自行建立的困擾。但相對來說，這種完全沒有規則的密碼也伴隨著難以記憶的問題，必須透過密碼管理軟體等措施加以列管。

4大步驟，設定可記憶的強式密碼家族

基本上，密碼應該要有一定的複雜程度，讓有心人士難以破解，相信大部分的使用者都能認同，例如密碼越長越好、長度不能少於8個字元、必須混合大小寫英文字母、數字與符號...等，然而，每一組密碼都必須設定這麼複雜，相對的也同時考驗著使用者的記憶力，難道就只能寫下來，才能避免自己忘記嗎？

將密碼寫下來，或是透過Excel檔案、密碼管理軟體儲存，當然也是可行的方法，但前者必須與登錄的設備分開存放（例如，電腦開機密碼不能直接貼在螢幕上），若是Excel檔案，則必須採取加密措施管制。但在管理大量密碼的需求下，有沒有更好的做法能夠因應？

如果從密碼建立的規則下手，不只對自己而言，有規則可循，我們也能藉此打造一系列可記憶的密碼。大致上的步驟可區分為兩個階段，首先，我們必須先建立一組複雜度高的密碼，再延伸產生各類型服務專用密碼，步驟如下：

1.選取一個自己能夠記憶的字串

基本上，想要有系統的打造一個密碼，我們可透過幾種方式出發：一種是選用英文單字（以下我們用ithome為例），如果你的英文不錯，也可以選用一個短句開始，像是I love ithome。

此外，我們也可以透過慣用中文的輸入法，做為密碼字串的來源，以「電週文化」四個字為例，注音輸入法的編碼是2u045.jp6cj4，嘸蝦米則是uqlnyowwxpfl。不過，值得留意的是，如果採用注音輸入法做為字串的來源，遇到鍵盤沒有注音與英文字母兩者都標註，供使用者對照的情況（例如，行動裝置的虛擬鍵盤），使用者就必須熟記注音所對應的英文字母，或是符號位置。

2.安插與替換數字和符號

一般來說，許多英文單字不一定能達到強式密碼所需的長度，因此，我們可接著將原來的字串，加入一些數字與符號；如果是短句，則可以省去其中的幾個字，再使用數字和符號替換。至於採用輸入法取得的原始字串，則可兼用替換或是額外加字的方式修改，增加密碼的複雜程度：

● 以英文單字ithome為例 → it 5＠#6 home

● 以英文短句I love ithome為例 → 1lovi7h*me

● 以注音輸入法輸入「電週文化」的字串2u045.jp6cj4為例 → 2u045.6&jp6cj4

● 以嘸蝦米輸入法輸入「電週文化」的字串uqlnyowwxpfl為例 → uq1n90wwxpf)

3.調整部分英文字母為大寫

透過前述的方法，我們已經得到一個包含英文字母、數字與符號的密碼，只需調整部分字母為大寫，以符合強式密碼同時需要大小寫字母的要求：

● 以英文單字ithome為例 → iT5＠#6hOMe

● 以英文短句I love ithome為例 → 1lOVvi7h*mE

●以注音輸入法輸入「電週文化」的字串為例 → 2U045.6&

jp6CJ4

● 以嘸蝦米輸入法輸入「電週文化」的字串為例 → UQ1n 90wwxPF)

4.套用各網站服務的關鍵字串

你一定會問，這樣的密碼雖然有規則可循，但是該怎麼將一個變成多個呢？其實，我們可在剛才產生的密碼中間，穿插自己可識別該網站或是應用程式的字串，就能加以區隔，建立不同的密碼。

以下的範例，我們透過剛才使用單字法產生的密碼「iT5＠#6hOMe」進行修改：

● 用於Gmail信箱：iT5＠#6hOMgm@e

● 用於Facebook網站：iT5＠#6hOMf8e

● 用於Line App：iT5＠#6hOMlie

如此一來，一組強式密碼就能延伸出多種版本，對於使用者來說，實際上，這時需要記憶的，是一組密碼再加上不同的補助字串，藉此大幅減輕個人的管理負擔。另外，未來若想要定期更換密碼時，透過這個模式產生的密碼組合，也比較方便使用者能全數盤點及汰換。

使用像Gmail、Facebook、Dropbox等網站服務，由於業者會提供用戶帳號，若是使用者更換密碼時，系統便會連帶教育，提醒如何設定較為安全的密碼，使用者也能藉此得知目前想要更換的新密碼的強度，需要朝那些方向修正，才能提高其安全性。