資安防護:設計一組「好密碼」保護網路安全隱私(專家規則教學)

Matrix Hack

最近為了菲律賓以一個國家的身分攻擊我們平民的事件,導致兩國百姓私下在網路上戰的火熱。撇開利用漏洞攻擊網站的方式不談,對我們這些普通的電腦使用者而言,防範攻擊者的各種防禦中,最基本的就是選用一組好密碼 — 或至少三組。好的密碼可以防止攻擊者用暴力破解法進行攻擊。

本文共分三個段落,第一段是介紹密碼強度與破解時間,第二段是教你如何設計一組好的密碼,第三段則是教你如何檢查自己的密碼強度

密碼強度與破解時間

記得網路這項新興科技才剛開始流行時,不少人喜歡的密碼是 12345678。

利用暴力破解法破解這組密碼的時間只需要…

00002 seconds to crack your password 資安防護:設計一組「好密碼」保護網路安全隱私(專家規則教學)

到了近代,人類的智慧已有飛躍性的成長(謎之音:難不成前面是尼安德塔人嗎?),懂得使用更複雜的密碼形式,提升密碼的強度,像是:

5201314 —> 我愛你一生一世

10477 seconds 資安防護:設計一組「好密碼」保護網路安全隱私(專家規則教學)

ILoveYou —> 我愛你

1.2448 seconds

23113731 —> 總統府電話

10.4773 seconds

MaTheBumbler —> 不解釋

14.025385 minutes

對了,有一組密碼可是世界上超多人的最愛,說它是排在愛用密碼表前五名也不為過。

這組密碼就是 password 本身。

甚至許多網路機器的預設密碼就是 password,後面使用者也懶得更換。這項統計結果可是經過美國學術單位進行研究的呦。

0 Seconds 資安防護:設計一組「好密碼」保護網路安全隱私(專家規則教學)

如何設計一個好密碼

接下來我將提供幾點關於密碼設計的觀念給大家,如果有誤或不足處還請高手指正。

第一點,使用至少三組密碼。

我一再傳達的安全理念之一,就是網站主自己要認清網站的規模與實用度,詳細內文可參見《給網管的一封信: 符合網站重要度的密碼規則是重要的》。

反過來說,對我們使用者而言,在不同等級的網站使用不同安全等級的密碼就是相對方便與安全的一種選擇。

舉個例子讓大家方便瞭解,例如社交網站用 0000,電子信箱用 1234,銀行交易用 6749。

大家看出這三組密碼有何差別嗎?

其實本質上就是字串的複雜度不同,這部分我會在第三點做更進一步的補充。其實 “不同複雜度” 的使用方法只是我的個人習慣,如果大家的記憶力超越常人,那每一組密碼都用極端複雜的組合也是很棒的,但是我想那並不符合我的使用需求,我可是很懶惰的。

重點就是,不要貪圖方便的只用一組密碼闖就想蕩網路世界。

在完成至少三組的密碼設定後,一定要記得,千萬不要在陌生的網路及電腦環境中使用第三組密碼!這意思就是越重要的密碼,越不要輕易使用。所謂的陌生環境指的像是學校公用電腦網咖、路邊隨意接上的 WIFI 無線網路,甚至連友人家的電腦都包括!在這些陌生環境中,有太多的可能會被竊取密碼,無論是透過現實或虛擬技術,無論是有意或無意。

當你徹底執行上面所說的步驟後,對一般善良老百姓而言,唯二剩下可能會被竊取密碼的機會,大概就是遇到惡劣的網站設計者,以及自己使用電腦的不良習慣。這邊有機會等開新文章再來談吧。

第二點,定期更換密碼。

原則上建議每三個月到半年就要更新一次密碼。不過對於社交網路使用的密碼,除非發現異常狀況,否則我也懶得更換害羞

第三點,使用好的密碼規則。

所謂好的密碼規則,簡單講就是越複雜越好。以「dQ&@Fj2w#!e3W」為例,破解密碼所需的時間就是…

2798 Years 資安防護:設計一組「好密碼」保護網路安全隱私(專家規則教學)

在這個經過設計的密碼範例中,包括幾項重點:

  1. 長度:密碼字串長度至少為 8 個,越長越好;但在一般網路環境中,不建議超過 16 個。以 8 個 A 的密碼 AAAAAAAA 為例,INTEL 告訴我們破解密碼的時間需要 6 小時,但是當長度由 8 個 A 提升到 9 個 A 時,便需要 6 天才能破解。順帶一提,如果是 16 個 A,則需要 144883728 年。
  2. 構成:我將密碼的構成元素由簡單到複雜依序排列,包括「數字」、「小寫英文字母」、「大寫英文字母」、「符號(e.g. ~, @, #, $, %, ^, &, etc,.)」。其中,最簡單的密碼設計可以是單純的「數字」。進階版本則是加入「小寫英文字母」,像是 love1314(0.0272 秒)。因此,若想增加密碼強度,只要加入更多相異的元素便能達成。不過有些網站系統可能不支援數字及符號密碼,這也是需要注意的地方。
  3. 組合:我用相同構成元素的兩組密碼「A1234#5678」及「A#12345678」來做個實驗,破解時間分別是「0.0589 Seconds」以及「0.2266 Seconds」。我們可以知道,即使採用相同的構成元素,只要在組合時稍微花些巧思,也能有效的提升密碼強度,在這個例子中就差了將近四倍的時間。基本的大原則就是,將最複雜的構成元素擺在前面,這也是許多網站會嚴格要求第一個字母採用大寫英文的原因。

第四點,如果網站本身提供第二道安全認證,使用它。

所謂第二道安全認證,是類似一種雙重鎖的安全設計,它讓使用者在特定狀況下,需要輸入第二密碼才能進入受保護的空間,更進一步的使用可見我所寫的文章《網路安全: 建議使用兩階段驗證密碼 – 設定教學與手機 APPs 支援》。

例如,臉書在「帳號設定(Account Settings)」中的「帳號保安(Security)」選項,提供「登入許可(Login Approvals)」功能。Google 在帳戶設定中的安全性設定中,提供「兩步驟驗證」服務(Google 官方兩步驟驗證教學)。

這兩間不同公司卻提供相似的服務,目的就是在某人透過「陌生電腦」連上臉書或 Google 時,需要額外輸入經手機接收的安全驗證碼(Security Code),以便確認是由本人親自登入。

另外,有些網站會主動要我們使用兩種密碼,以因應前、後台不同的使用時機,這樣便能造成入侵者的困擾。但是,我要特別聲明的是,如果你發現網站甚至會自動幫你驗證這兩種密碼是否相同時,反而不用高興的太早,認為這會讓安全等級更高。你的密碼正暴露在風險之下(系統需要先知道你第一次設定的密碼內容,才能加以驗證),我會建議你不要使用習慣的密碼。

檢查自己的密碼強度安全

如同本文剛開始的測試,如果你想檢查自己的密碼強度,可以到 INTEL 提供的專屬網站進行檢查,網址是:https://www-ssl.intel.com。大家只要將密碼輸入文字框中,按下 GRADE MY PASSWORD!,系統便會找出你的密碼需多久時間才能破解。

雖然是 INTEL 的官方網站,但我個人還是不建議輸入正在使用中的密碼。大家其實可以採用比較迂迴的方式,譬如 ILoveYou 換成 ILoveLion(害羞)。

Change Your Password win an Ultrabook 資安防護:設計一組「好密碼」保護網路安全隱私(專家規則教學)
Change your password.
00018 seconds 資安防護:設計一組「好密碼」保護網路安全隱私(專家規則教學)

比 ILoveYou 還簡單呦 害羞。…………… 沉思

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

2 個回應

  1. 羊 好愚表示:

    這裡也好釀釀

  2. 羊 好愚表示:

    口水每

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

%d 位部落客按了讚: