公司一位女同事因不慎把豆漿打翻在筆電,導致無法開機,換一台新電腦後,所有網路平台都得重登。「不過好在她網站都用同組密碼,不然就 GG 了。」行銷部同事 A 子很輕鬆地敘述事發經過,但身為資深工程師的我聽了直冒冷汗,想必這位女同事還沒受過密碼外洩的苦啊。最近才有一則新聞提到,有超過 51% 的常用密碼會在 1 分鐘內被 AI 破解,這是很可怕的事呢!
關於「密碼管理」的五個 QA
多數人都知道密碼設太簡單會有外洩可能性,卻仍使用同組密碼登入各平台,或明明知道有很多便利的「密碼管理」工具卻沒使用、擔心很麻煩或有額外問題產生。幾年前有個國外記者,他的 Apple、Amazon 和 Google 用同組密碼,設置的密碼也很簡單,最後個資外洩,連綁定的信箱都被改掉,駭客還知道要開啟自動同步,導致本人透過「忘記密碼」也找不回資料,損失慘重。
把資料存在雲端上已經成為一種便利的趨勢,一旦被盜帳號,很可能成為駭客勒索的對象,還是老話一句,不要真正碰上才知道問題的嚴重性,以下這幾個是我最常被問到的問題,我以 QA 方式回覆:1. 用瀏覽器內建的自動儲存密碼功能安全嗎?
用瀏覽器內建的自動儲存密碼功能,對於各網站的登入來說是很方便,但這樣不代表很安全,因為它只有「密碼儲存」功能,沒有資訊安全威脅防護。舉個我講很多次的例子,如果你的筆電不慎遺失,任何拿到電腦的人都能透過瀏覽器登入你的帳號做任何事,想使用瀏覽器紀錄密碼,就要想好如何保護密碼外洩問題。
2. 透過「忘記密碼」重設密碼是否安全?
這取決於你使用的網站方,他們採用的「忘記密碼」服務是好還是壞而定。有些網站對於「忘記密碼」的恢復流程設置很嚴謹,但大多數網站都是在你按下「忘記密碼」時,寄送重設密碼函到個人信箱,倘若你的信箱早被就被駭,那就跟門戶大開沒兩樣。有小部分的網站,還會採用很早期的,直接把正確密碼寄送到信箱。透過「忘記密碼」功能回想密碼,根本是把密碼管理權交給別人,而且,使用越多次忘記密碼,你在密碼管理上會越來越混亂,當你看到「不能設置與之前同樣密碼」時,肯定內心大暴走。
3. 用密碼管理工具很麻煩?而且還是要記密碼
使用密碼管理工具並不麻煩,最怕的是連登入的「主密碼」都記不住(笑),其實換個角度想,只需要記住一組密碼就好,其他的密碼都能使用「密碼管理」工具產出又長又複雜的隨機密碼,這種便利性是無可取代的,有人會問,那這樣不是更危險?駭客只要知道「密碼管理」工具的主密碼根本就赤裸了。基本上只要密碼字元超過 18 字,要被破解的機率真的很低。
4. 如何設置難破解又高度安全的密碼?
只要費心於密碼長度及使用短語句,就能創造對人腦好記,但電腦難以破解的安全密碼。之前國外有張圖就解釋了這個密碼原理,懶得看翻譯的人,我在下方簡單說明:
例如:
- 密碼=6@p2a*B^(雖複雜但長度不足,難以記憶又容易被破解)
- 密碼短語=vampire-crow-otaku(長度足夠,難以破解又容易記憶)
明顯密碼短語好記很多,只需要記三個單字,vampire(吸血鬼)、crow(烏鴉)、otaku(宅男)就可以了。
5. 用密碼管理軟體還是會有風險?
目前市面上有四款討論度高的密碼管理軟體,包含:1password、Bitwarden、keepass 跟 lastpass,業界比較多人用 1password,因為可以跨平台、跨瀏覽器、自動二階段驗證,口碑很不錯。不過我個人是習慣用 Bitwarden,因為它免費開源,加密方式做得很安全,Keepass 前陣子出現資安漏洞,要使用的人可能要多方評估一下。
無論使用什麼服務風險一定都有,就像我們早知道把重要資料存在雲端上有外洩的風險,卻還是會因為很便利而使用,重要的不是拒絕使用這些工具,而是在了解風險下使用,而且,這些做密碼管理工具的公司也有一定程度的資安專業與企業資安規劃,別因為一次的出錯就否認所有優點,可以三個基準來評斷密碼管理軟體是否安全,第一:是否定期更新?第二:是否有資訊安全專家驗證?第三:資安功能是否齊全。
不只個人?連企業密碼也可能用:1234
會寫這篇,除了希望那位打翻豆漿的女同事可以看到(工程師表達關愛的方式就是如此內斂),另一個原因是,去年我參與公司的遠端連線控管軟體開發,之前還不能公開,最近上市,我就可以大方討論。無論個人或企業,密碼外洩事件每天都在發生,我在參與專案時,特別針對資安舉措深入思考。
看到有些客戶內部的員工密碼設置很弱,例如:1234 之類或自己生日,我真的會嚇到,因為公司辛苦累積起來的工作資料,很有可能因為這些資安問題被消失,或 IT 莫名其妙背黑鍋,我花時間在新開發的系統裡加入資安監控軟體,可以控管問題、回溯問題,做事前預防跟事後補救,做了很多測試,只是希望盡量減少這類問題,如果有客戶因為用了我開發的服務,受到保護,這一切就值得了啦,總之,希望大家都能好好保護自已的密碼,不要被盜!
-
溫馨提醒:請把本文分享給你身旁密碼設生日或 1234 的朋友或同事好嗎~
本文沒有任何密碼管理軟體贊助,公司開發的軟體有沒有賣出我也沒抽成(淚)
