Hot Topics 娛樂追蹤

Cyber security 專家告訴你，就算把密碼設置為「jK8v!ge4D」仍然不安全

2020-06-18 (星期四)

隨著網路與社交網站的發達，相信大家都很清楚設定密碼的重要性。許多需要設定密碼的平台，也會要求使用者跟隨一些規限，最常見的就是，密碼設置必須包括一個大小寫字母、數字和特殊符號，並且密碼不得少於 8 個字符。因此，大家也普遍相信這是目前最安全的密碼設定方式，不過最近有一名工程師提出了不同看法，今天就讓我們來了解一下。

We all have to set up passwords to access lots of internet services nowadays. How do you set up your passwords? Do you know that something like "jK8v!ge4D" is not actually safer? A full-stack developer recently point out that maybe "greenelephantswithtophats" is a better choice. The reason behind that is this type of passwords are not only hard to guess, but also much easier for the specific user to memorize.

Cyber security 專家告訴你，就算把密碼設置為「jK8v!ge4D」仍然不安全

全端開發工程師（Full-stack developer ）Jacob Bergdahl 近期在 towardsdatascience.com 網站上發表了一篇文章，指出例如「jK8v!ge4D」這樣的複雜密碼，其實不見得比較安全。相較之下，把密碼設為「greenelephantswithtophats」（戴高帽的綠色大象）不僅更加安全，使用者本身也比較容易記得。

Jacob 從開發人員角度出發，提到編寫網路服務的工程師，一般來說都需要不斷地驗證使用者所輸入的各類資料，例如確保使用者輸入的電話或郵箱地址是符合格式的，這樣才能幫助使用者避免一些可能發生的錯誤。

在這樣的邏輯下，密碼的設定規則也因此演變成現今常見的「包含 8 位字符，需包括大小寫字母、一個數字，同時加入特殊符號」。不過，Jacob 認為這樣的方法其實更容易遭到破解，因為使用者自己無法記得，因此需要在某個地方將密碼寫下，進而造成密碼外洩的問題。

此外，也有使用者設定好一串例如「jK8v!ge4D」的複雜密碼之後，為了方便記憶，便在不同平台都使用同一組密碼，這樣其實反而是更加危險的，因為只要有某個網路服務產生資料外洩，密碼若遭到不法分子取得甚至破解，壞人能打開一個戶頭就能打開其餘的戶頭，那後果將會非常嚴重。

Jacob 建議，一組好的密碼必須具備一定的長度。例如「gtypohgt」這個由八個隨意的小寫字母組成的密碼，其實只需要幾分鐘便能被破解。但如果像是「greenelephantswithtophats」這樣長達 24 個小寫字母的密碼，若想破解可能就需要上百萬年的時間。

所以在設定密碼時，在許可的情況下，密碼越長就越安全。

但太長的密碼，要是連使用者自己都不能記住，那也是沒有意義的。

所以 Jacob 提議大家用「故事記憶法」來記住自己的密碼。舉例來說，如果自己養了一隻叫做 Rufus 的狗，那麼使用者便可以發揮想像力，使用「walkingdowngrandpasroadwithlittlerufus」（和 Rufus 一起經過爺爺家門口），這類密碼雖然長，但對於使用者來說有意義，其他人就很難猜到。

其他幾個 Jacob 提到的例子還包括：

「Flyingcarsthatcannotflyarenotflying」（不會飛的汽車就不是飛車）

「Applesmaybegreatbutpearsarelikeheaven」（蘋果雖好，但梨子更好）

「Goatswithshoesenjoytrainsonrainydays」（穿鞋的山羊喜歡在雨天搭火車）

假設有網站需要有大寫字母、數字或特殊符號，可以密碼最後加入「A1!」之類的字串，因為即便是在各個不同的密碼串後面都只加上「A1!」，也只會讓密碼變得更加安全，除了稍有不便外，其實也沒有甚麼害處。