遵守“2重點” 這樣設密碼最安全！

密碼長度非常重要

網絡安全公司Alert Logic的技術總監Richard Cassidy曾建議，密碼最好有14個字元，因為駭客得嘗試811兆次才能破解。他認為，密碼長度比複雜程度來得重要。
句子越長，難度越高，駭客可能會先放棄，尋找更容易下手的受害者。若記憶力驚人，能夠記得“iloveapplejuice”、“watermelonismyfavorite”、“billieieanisnotmylover”等密碼，那就非常好。最差的密碼是可以在字典找到的單詞，舉例像“admin”、“loginpassword”、“computer”等詞彙。“如果駭客‘字典’有四百多萬組密碼，只需20秒就全數掃描完畢。如果是單詞密碼不到一秒就解開了。”馮宗福說，經過多年累積，他們也組建了自己的“字典”，甚至收納其他國家語言的密碼，如意大利、德國等，因為各別國家用戶都有特定詞組模式的密碼。

他透露，一些系統是可以支援中文密碼，但大部分人沒有用。“其實中文密碼更難駭。”然而，有些系統有些弱點，不接受Unicode編碼，即英文以外的字元，如中文、韓文、日文等。用戶不妨用拼音去對應自己的密碼。比方“管理員”變成“guan1li7yuan3”。配合上述所提及的“八字真言”，再改造成“Gu@N！Li7￥uAN3”。

 
那麼用表情包（emoji）取代密碼是否可行？這並非天方夜譚，英國的銀行軟件開發公司Intelligent Environments在2015年曾倡議，開發emoji密碼系統，利用44個emoji表情可以組成349萬8308個組合。對於馮宗福而言，他認為emoji符號背後的Unicode沒有標準化，在不同的平臺，同樣的符號會顯示不同的Unicode。“在WhatsApp可能是這組Unicode，但是在Viber或微信是不同的。”

你是機器人嗎？

登入網站時，偶爾會出現人機驗證（captcha），這是一種安全驗證機制，以證明本身是人而非嘗試入侵的電腦程式。對於captcha機制，他解釋，若駭客掌握了受害者的用戶名稱（username），但沒有密碼。駭客會設計一個程式，不斷將連串數字和字母去測試密碼。

 
“如果網站沒有captcha機制，駭客就可以一直測試，直至找到正確密碼就能登入了。有些機制是會限定3次或5次嘗試。這些captcha就是為了防備這些攻擊，例如選圖片或輸入字母。”如果是金融業務網站則會限制嘗試次數，一旦超過就必須親自去銀行或提款機重設密碼。另一些則是輸入密碼失敗之後，系統就會冷凍賬號一段時間。凍結時間可能長達15分鐘或一小時不等，直至用戶輸入正確密碼為止，這也是減緩被駭的速度。

管理密碼的方法：
01. 避免在幾個平臺使用同樣的密碼。
02. 重新設定密碼時，避免重複設定已用過的密碼。
03. 至少每3個月更換一次密碼。
04. 避免使用字典裡的英文單詞。若使用，將特定英文字母改成數字或符號。
05. 設定密碼時，不要放自己的名字、生日、手機號碼、職員證號碼等資料。
06. 不要在公司辦公桌、群組、網頁或電郵公開張貼用戶名稱和密碼。
07. 如果擔心忘記密碼，抄錄在一本簿子，然後嚴密保管。
08. 不要點擊任何陌生電郵發送的鏈接。
09. 不要發送密碼給任何人。
10. 啟用雙因素認證，保護自己的賬號。
11. 小心設定“安全問題”和答案，不要輕易讓人猜到。

後記：無論在什麼情況下，我們有責任保護自己的個人資料。在社交媒體減少曝露自己的隱私資料，在網上填寫任何表格時，仔細閱讀用戶條款，確保個人資料不會被濫用。認真看待設定密碼這件事，就能降低被駭的風險。對駭客而言，沒有破解不到的密碼，只是時間而已。