近年來駭客攻擊四起,許多地方的資料庫都因為各種不同的原因被攻破,好多使用者的資料也因此遭到外洩,其中不乏這些使用者們的密碼。
快速查詢,你的密碼安全嗎?
如果你對於自己的密碼是否外洩感到有疑慮的話,不妨來試試看我今天介紹的這個網站吧。
這個網站名稱叫做 「Have I been pwned?」,是由國外的工程師所寫的,這位工程師蒐集了過去數年間外洩的近 5 億筆資料,並統合成一個資料庫。
have i been pwned?:https://haveibeenpwned.com/
使用者只需要在網站的欄位中輸入自己平常使用的密碼(不用輸入帳號),系統就會顯示資料庫中有多少筆重複的資料。
▲Have I been pwned 網站首頁
根據查詢的結果,下方會出現兩種結果,如果顯示的為綠色,表示目前使用者查詢的密碼尚未出現在資料庫中;若出現的是紅色,系統則會跟你說他在資料庫中發現了多少筆重複的資料。
我的密碼洩漏了,怎麼辦?
如果你使用的密碼出現紅色警示,那有可能是以下幾種狀況之一:
你使用的這組密碼被外洩了
你使用的這組密碼過於簡單或是過於常見,有其他人使用了和你一樣的密碼(像是「1234」這種的)
你使用的這組密碼曾經被駭客成功破解過,並且公布出來
不管是哪種情況,很明顯換密碼的時候到了,不過換密碼也有些秘訣可以參考,讓你換的安心、換的順利,雖然換了後還是要工作才有錢拿就是了。
1. 使用長密碼
要換,就換安全點的,使用長密碼可以避免被暴力破解的可能。所謂的暴力破解,就是把所以可能的密碼組合通通嘗試一遍的行為,舉例來說,今天設定三位數的數字密碼,理論上我只要把 000 ~ 999 都嘗試一遍,一定可以中正確密碼,這就是暴力破解。
較長的密碼可讓這個猜密碼的過程變久、變長,搭配目前許多網站在密碼錯誤次數到達一定上限時會啟動的安全機制,可以降低自己的密碼被人猜中的風險。
另外,在這我並沒有特別推薦使用者一定要取類似「%Ffj934!@」這種參雜符號、數字、大小寫字母的密碼,雖然這種密碼在數學機率上被猜中的可能最低,但由於記憶起來相對困難,輸入密碼時也較為不便,因此這樣的密碼反而會造成使用者不是忘記密碼,就是會在下次想換密碼時換成簡易密碼。
TO 延伸:設個密碼要大小寫,還要數字加符號?當年發明的人表示:對不起,我錯了
至於要怎麼取長密碼又好記呢?這邊可以建議大家使用單字組合加特定數字,例如像是「bananaapplefruit9487」或是「taiwanamericanfriend3310」這一類的。
另外,由於全世界基本上只有台灣在使用注音輸入系統,大家可試試看像是「dkru41l4rm6」(科技報橘的注音輸入時會按到的鍵盤)這類的來取密碼,也是不錯的選擇。
2. 各網站之間密碼不共用
這個原則比較像是損害控管的概念。
相信許多人在註冊不同的網站時,都會習慣性的沿用同一組帳號 ID 與密碼方便記憶,但這樣的後果就是,如果今天有其中一個網站的帳號密碼被洩漏出來時,駭客便有機會利用這組帳號密碼嘗試登入你其他網站的服務,造成傷害擴大。
藉由各家網站使用不同密碼的方式,可以確保就算今天某一間網站的帳號密碼外洩,資料外洩的風險也會被限定於該網站,而不用擔心自己其他網站的帳號密碼遭到突破。
可能有些人會說:「我有很多個網站欸,每個網站都換密碼我會記不住」,對於這種狀況,可以在取密碼時選擇使用只有自己知道的特定邏輯作為密碼變更,例如使用「bananaapplefruit01」是給 A 網站,「bananaapplefruit02」給 B 網站等等。
3. 不定時更換密碼
藉由這樣的步驟,可以避免在密碼外洩而大眾尚未知曉外洩的情況下,駭客手上盜取的密碼因為被變更而失效。
以上的這些技巧,希望能幫助到有需要的各位。
─ ─
參考資料來源:
Have I been pwned 官方網站
《TechOrange》: 設個密碼要大小寫,還要數字加符號?當年發明的人表示:對不起,我錯了
更多密碼資安你該看的資訊
設個密碼要大小寫,還要數字加符號?當年發明的人表示:對不起,我錯了
【被鍵盤打臉】密碼設 500 個字也沒用,因為出賣你的是無線鍵盤!
分析 14 億筆外洩密碼:40 組最常被使用的白痴密碼,你的是否在其中?
聯想 ThinkPad 資安爆漏洞,指紋辨識竟然能被一組「萬用密碼」破解?
※本文授權自TechOrange科技報橘,原文見此。
