密码怎样设定才会安全又好记呢?
虽然现代的网络浏览器、第三方密码管理器或指纹辨识,替用户收纳大量各方网站、网银或网站服务的帐号密码,使用上算是很方便,但无论如何,用户至少都记得需要设定一个主密码,才能借此获得使用这些密码的存取权。
根据 FBI 美国联邦调查局技术专栏的建议,用户想设计一个安全的密码,除了密码长度至少不要少于 15 个字符外,与其使用一些复杂、看似乱码的短词,不如选择几组自己熟悉的单字和数字,然后再凑成一个长密码。这样一来,用户不但自己可以记得住、同时还能保有足够安全性的重要原则。
例如,像“correct horse battery staple”这样的密码设计,就是一个不错的选择。
用户也可以将密码的第一字换为英文大写,或是将字母的“O”和数字的“0”错位使用,最后在整串英文密码的末端点缀几个数字,也是不错的设计。
另外,挑选 4 个单字再组装起来(每个词之间也可以再加入“-”符号)的密码设计,也是今日许多安全人员经常会建议用户采用的方式。
FBI 提到,因为骇客不会知道用户使用的单字,所以只要将密码长度拉长,攻击者就必需要花更多的时间与运算资源,才能进行破解。所以对大多数的用户而言,与其增加密码构成的复杂度,采取增加密码长度,反而会是 CP 值更高的选择。
值得注意的是,FBI 对于使用“1Password”这类密码管理器似乎不是那么认同,因为这类管理器,如果主密码被破解,那么所有其它的密码都会危在旦夕。
至于一些专家眼中最差劲的密码设计,据资安公司“SplashData”公布的 2019 年选择中,仍以“123456”、“123456789”、“qwerty”和“password”这类粗糙的密码设定为主。