圖片來源:FBI<Protected Voices: Passphrases and Multi-Factor Authentication>宣導影片,https://www.youtube.com/watch?v=iH28PKBB6wM&feature=emb_logo

有鑒於密碼難記造成的反效果,FBI建議用戶,最好改用15字元以上的密詞(passphrase)取代複雜的密碼,且不應設定多久變更一次或密碼輸入錯誤幾次就鎖定。

密碼是手機、電腦、郵件及各種個人帳號登入驗證的主要驗證方法,然而太多研究顯示,大部份用戶偏好使用好記的密碼,像是1234、123456、或是password,有些人甚至在多個不同帳號上都使用相同的簡單密碼。即使到了2019年,許多人都還是存在這種不良的上網行為,像是上千名公眾人物的推特帳號,遭一名學生以1234或iloveyou的簡單技倆破解密碼

因此許多網站或企業開始要求用戶設定複雜的密碼,像是強制要求具備大、小寫英文字母、阿拉伯數字及特殊符號等。但美國標準與科技研究院(NIST)認為,密碼的長度比複雜度更為重要。

波特蘭FBI依據NIST的理論,建議企業IT人員或一般用戶,與其使用複雜的短密碼,應該改用更長的密詞(passphrase),最好由幾個字詞、最少15個字元組成。超長密詞不但比密碼方便記憶,而且能增加破解難度。例如VoicesProtected2020WeAre就是夠強的密詞,若能加入數個不相干的字更好,如DirectorMonthLearnTruck。

FBI建議,企業IT人員最好要求使用者使用15個字元以上的密詞,不要有大、小寫或特殊字元。同時應只在IT認為網路遭駭時,才要求用戶變更密碼。網管人員最好能掃瞄所有人的密碼,看看是否用了被破解率高的字典字詞當密碼,也不得提供密碼「提示」。

FBI也提醒IT不應再實施帳戶密碼輸入幾次就鎖定的政策,否則駭客可能故意發動機器人攻擊,反讓用戶被鎖住而無法使用電子郵件等帳號。

現在許多人會使用Vault程式或密碼管理器,來儲存眾多密碼。有人擔心如果vault被破解了,可能反而讓攻擊者取得所有密碼,但是安全專家普遍認為,Vault使用利大於弊。FBI也建議IT經理們不妨研究一下。


Advertisement

更多 iThome相關內容