文:Gromit Wong
或许你没料到,被资讯安全业界公认其中一种最弱的保安机制(one of the weakest security mechanisms available ),竟是我们无时无刻都在用的密码。「最弱」并非指密码本身易被人破解—如4小写、4大写加 2 个数字组成的密码,运算能力达每秒1000亿密码组合的电脑,仍可能要3.25个月才猜中—而是以密码形式认证所产生的副作用,反令用户更不安全。
你想过自己持有多少帐户吗?你家和办公室的电脑、网路银行、E-Mail、社交网络、网路商店⋯⋯等等等等,没上千也该上百,又多又难记,不难想像我们会怎样应付⋯⋯如 12345678、统一密码、写在纸上,说到底因为密码并非「最友善」的设计,只不过实施成本最低,才一直被沿用。
使用「密码保险库」资安业界(或有可能整个IT业)都想淘汰密码这机制。但在可见时日,我们仍需与密码共存,甚至愈来愈多密码被产生。怎么办才好?要没副作用又令帐户更安全,并不是没法子的,只要记着「保险库」这概念便行:密码不用记,都放进保险库,你要记的只是开啓保险库的「主钥匙」密码(master key),当要登入哪个帐户,便凭主钥匙开啓保险库取用密码。
怎样做呢?其实市面上已有相关产品,用哪种便看你的需要:
线上密码管理员:服务商让你把密码储存于他们的伺服器,并提供外挂让你在不同平台及浏览器取用密码,比如说LastPass、Sticky Password等等,当然也有其他选择。
假如使用Mac,本身内置的钥匙圈(keychain)功能其实就是密码保险库。
Chrome配合Google帐户的密码同步功能:透过登入Google帐户,把密码上传到Google伺服器,于其他装置的Chrome浏览器取用密码。
当然密码保险库的问题是,只要你保险库被破,所有的密码也都会外洩,不过这点也可以透过下面提到的双重认证来加强保护。
你的电子邮件才是「弱点」,请考虑「双重认证」现时登记网路服务都会要求输入email地址。如果你忘记了密码,你可透过该email地址取回或重设密码。假如这个帐户被人入侵,不难想像你登记过的服务也会出事。用作登记的email帐号最好设一个难猜的密码。怎样的密码算难猜?前述例子可作参考,即起码要4小写、4大写、2数字组成共10个字元的密码。密码的「安全」程度更取决于长度,因此你应该选用较易记而很长的密码,而非较短而难记的字词。
假如你还嫌不够安全,可考虑使用「双重认证」(如服务厂商有提供的话)。登入email时,除了输入密码,你还会收到手机简讯,要输入简讯内的另一组密码才能登入。
对于手机,当然也有被入侵的风险,但我认为更易发生的问题是你忘了带、没网路或丢失SIM卡。因此使用双重认证前,要考虑是否容易查阅手机简讯,又或没手机时服务商能否提供「后路」。
12345678也不错最后想谈一下相同和易记密码的问题。专家们都会劝用户别用相同密码于不同帐户,密码不要太简单。想深一层,为不同服务都设一个难记密码。真有需要吗?例如订阅推销邮件,也要跟你的银行密码一样安全?假如你肯定该服务被人入侵,也不会洩漏你的重要资料或损失金钱,索性用些易记的密码,只要不和你最重要的帐户密码相同,别人知你用12345678又如何。
注1:p192, CISSP All-in-One Exam Guide, 6th Edition
从事 IT 工作,致力于运用科技和职场改善生活,达至「个人化」。
安全的密码很难记?不妨写首小诗