暗網潛航——密碼怎樣才安全?

  相信大家每日都會使用密碼,甚至多組密碼。在訊息安全事故中最常見的便是密碼被人盜取了,今次跟大家談談在日常生活中應如何保護及使用密碼。

  一個好的密碼必須具備兩個元素:(一)不可以跟生活中擁有數字及字母的字串有任何關係,如生日、電話、門牌、名字等。(二)密碼必須最少有8至12個或12至24個字符並需要混合符號、數字及字母大小寫。要設定一個高強度的密碼便需要理解密碼是如何被盜取。其中一種盜取密碼的方法是「暴力破解法」(Brute-force attack),是使用程式運行字典檔以暴力嘗試的方式對擁有密碼的帳號及檔案快速破解,因此才會對密碼的長度及組成成份有一個嚴謹的要求。

  此外,密碼替換的周期性亦同樣重要,任憑一組高強度的密碼只要長期被重複利用自然會增加被盜取的可能性。黑客會利用「中間人攻擊」或「訊號竊聽」的方法盜取密碼,以假的傳送點、被感染的網頁或直接在無線或有線訊號通訊截取竊聽。因此我建議以90日為一個周期而且3個周期內絕對不使用相同的密碼,並且在訊號通訊中使用端對端或點對點加密通訊如SSH或VPN。

  一般人可能對時常更換密碼感到困難,大家可以配合「兩步認證」及「雙因子認證」這兩個層級組別的密碼配合實名制的電話SMS或硬件Token把密碼分成固定和隨機變換組合。但就不建議使用第三方獨立的密碼管理軟件,因其安全性質素和保持更新的能力缺乏保證。

TOZ聯合創辦人

龐博文


hd