還在用菜市場密碼?要不要試試台語

0
By on 用戶研究, 網站設計

20160317_02

▇ V編內心小劇場

關於密碼怎麼設才安全的原則,許多朋友都看過,我們再特地翻譯UserTestingBlog文章,來個大整理。先說結論:與其設那些記不起來的,不如用一個短句子,好記又安全。

比方老外說「Mypasswordissecure」要300億年才能被電腦暴力破解,但我們認為這句不夠本地化,萬一久沒登入,根本想不起來,建議「設台語」,而且從最生活化的「吃」下手:

  • Waijalowmaban(哇愛呷滷肉飯,道地台灣風)
  • Ilovetoeatlowmaban(英文和台語混合,有國際化的敢節)
  • Linbeeluipadloowei(飲畢魯愛配滷味,中間有『ipad』喔,所以也可以接愛配溫開水)

See~是不是宇宙無敵超級好記?只是有個小小缺點:每次輸入密碼,就會肚子餓。

——————-

▇ 原文翻譯

如果你覺得在上網的時候,老有人知道你上過哪些網頁,這就是密碼安全的重要之處。近年來資訊安全越來越被重視,根據調查,光是2014年有將近一半的美國成年人的密碼曾被破解。然而這些人大多根本不知不覺,你可能很難相信,根據SplashData整理,直到2015年,「123456」或者鍵盤左上方第一排的「qwerty」這類菜市場密碼,依然名列200萬組最常被駭的榜單前幾名。雖然很多網站不斷提醒使用者密碼設定必須「難以破解」,而且對密碼的要求也越來越嚴格,為什麼效果還是有限?

好密碼的五要三不

隨著我們的生活越數位化,無論是私人或是職場上需使用的帳號數也逐漸增加。根據密碼管理公司Dashlane調查,在美國,平均每個電子信箱會被用來註冊130個帳號。因此便有130種的密碼就要用在這些帳號上,但通常我們沒有辦法想出130種不同的密碼。如果你辦得到,那很可能是這些密碼都不是太難猜。

理想的密碼不是這麼簡單就能設定出來的,根據工業標準,使用者密碼必須包含下列要件:

  • 數字
  • 小寫字母
  • 大寫字母
  • 特殊符號
  • 長度至少八碼

同時,「不可以」這樣:

  • 有意義的字詞
  • 尋常性密碼(如:12345678)
  • 能在你的姓名、使用者名稱或公司名稱找到的字

即便使用者能想出滿足上面要件的密碼,但記憶這密碼時就變得相當費心,因此才解決一個問題,又冒出新的問題。

記不住不是你的錯

為了確保一組密碼經得起惡意人士或自動破解的挑戰,需要考量像前面所說的許多條件,因此對於使用者而言,「好密碼」通常超難記。這表示你要寫在本子上,或者存在電腦裡面,再不然就得用線上密碼管理系統來記錄自己精心設計出來的好密碼。可是,俗話說「有一好就沒兩好」,密碼好就難記,難記就得找工具幫忙記,而用工具記載下來又有洩露的問題,簡直鬼擋牆!

密碼容易被駭

好比一刀兩面,資訊技術進步正是密碼容易被破解的原因,許多駭客利用每秒能夠猜測數以十億計次的程式獲取他人的密碼,這表示當我們把密碼設定地越簡單,電腦就能越輕鬆地破解。暴力破解法(brute-force attack)就是運用一系列常見的密碼或是有意義的字詞進行推算,在很短的時間內便能破解大量的有效密碼。

甚至,知名的密碼管理服務LastPass在2015年6月也曾遭駭客入侵。該服務透過使用者自建且唯一的主密碼(master password)來進行所有密碼的管理,主密碼卻仍存在著被竊取的風險。雖然密碼管理是個很好的解決方案,但密碼管理公司仍然無法完全防堵被駭的可能。

由於難記,很多人習慣一碼多用,根據密碼管理公司Password Boss調查,59%使用者會在不同的帳號上使用同一組密碼,因為對於他們要記憶不同的密碼實在是太困難了。

密碼短語(Passphrase)是解決方案嗎?

那麼,要怎樣才能安全又好記?「密碼短語」正是在網海浮沉中的一個可能方案,與密碼相似,密碼短語可以包含數字、特殊字元等,可以是任何你喜歡的組合,唯一的關鍵是其長度。根據卡內基美隆(Carnegie Mellon University)的研究,當密碼長度超過16個字元時,則可以獲得較強的保護作用。每多一個字元,電腦就必須使用更多的資源進行解碼,所以隨著密碼長度的增加,便能降低暴力破解法的成功率。

良好的密碼包含許多必須要件,而密碼短語只需要包含下列:

  • 16個字元或更多
  • 包含大寫字母或數字

透過下列實驗可以發現密碼與密碼短語的差別,首先運用密碼確認網站(online password checker),接著鍵入「Mypasswordissecure」作為密碼短語,這是相當好記憶的短語,而且甚至包含有意義的字詞,然而卻推算出需要300億年才能被電腦暴力破解。(vide註:以下是我們輸入Linbeeluipadloowei的完整結果,同樣需要300億年才能被電腦暴力破解。)

20160317_01

密碼短語的挑戰

當然密碼短語也是會有前述風險存在,使用者可能會忘記、重複使用、或運用容易預測的組合。舉例來說,如果駭客掌握了你的電子信箱帳號,並透過其它在信箱中取得的個人資訊,就能進行暴力破解。另一個挑戰則是現今可以採用密碼短語的網站仍然不多,故使用者必須同時記憶密碼及密碼短語。

小結

當今密碼安全已為一個嚴重的議題,無論在私人或是企業的角度都很重要,而密碼需求的使用性則是在設置安全密碼扮演重要角色。我們從電影《千鈞一髮》(Gattaca, 1997)的劇情中,看到即便是我們的生物特徵如指紋、虹膜、血型等都有可能被「駭」,因此密碼短語肯定做不到100%安全,不過已經是目前最讚的方法了。

 

原文出處:UserTestingBlog

原文作者:Jennifer Winter

 

 

Share.

vide 編輯群

Related Posts

Leave A Reply