登录
我的股票
Newsletter
联络我们
登广告
关于我们
活动
热门搜索
大事件
本网站有使用Cookies,请确定同意接受才继续浏览。
了解更多
接受
您会选择新界面或旧界面?
新界面
旧界面
简
本网站有使用Cookies,请确定同意接受才继续浏览。
了解更多
接受
您会选择新界面或旧界面?
新界面
旧界面
星洲人
登广告
互动区
|
下载APP
|
简
首页
最新
头条
IG热文榜
热门
国内
即时国内
封面头条
总编推荐
暖势力
热点
全国综合
社会
政治
教育
我们
专题
发现东盟
带你来国会
星期天头条
华社
2022大选
求真
星洲人策略伙伴
星洲人互动优惠
国际
即时国际
天下事
国际头条
国际拼盘
带你看世界
坐看云起
俄乌之战
京非昔比
言路
社论
风起波生
非常常识
星期天拿铁
总编时间
骑驴看本
风雨看潮生
管理与人生
绵里藏心
亮剑
冷眼横眉
游车河
财经
股市
即时财经
焦点财经
国际财经
投资周刊
2024财政预算案
ESG专版
娱乐
即时娱乐
国外娱乐
大马娱乐
影视
地方
金典名号
大都会
大柔佛
大霹雳
砂拉越
沙巴
大北马
花城
古城
东海岸
体育
大马体育
巴黎奥运会
羽球
足球
篮球
水上
综合
场外花絮
副刊
副刊短片
专题
优活
旅游
美食
专栏
后生可为
东西
时尚
新教育
e潮
艺文
护生
看车
养生
家庭
文艺春秋
星云
人物
影音
读家
花踪
亚航新鲜事
学海
动力青年
学记
后浪坊
星洲人
VIP文
会员文
百格
星角攝
图说大马
国际写真
好运来
万能
多多
大马彩
热门搜索
大事件
Newsletter
登录
ADVERTISEMENT
ADVERTISEMENT
密码管理方法
e潮
遵守“2重点” 这样设密码最安全!
“懒惰”、“容易忘记”、“方便管理”,当你在设计密码,这些念头是不是也曾浮现在你脑海中?设想密码时,会不会也将生日号码或名字的英文字母串成密码,以免忘记而得费时间重设密码?有些人则直接把用户名字倒转成为密码,例如“cyberworld”变成“worldcyber”。再不然,共用一个密码,但只在密码后面置放网站名称缩写,例如淘宝网站就用“cyberworld2018tb”,脸书就放“cyberworld2018fb”等。 部分网站为了保障用户资料安全,会要求设置密码必须拥有大小写英文字母、符号和数字。偶尔还会在密码栏目下附上强度测试,以提醒用户密码不要设得“太弱”,不让人猜中破解。有部分网站论坛系统只允许用数字或大小写英文字母串成密码,而禁止特定符号如“%”、“#”和“/”等等。 “当网站系统的伸缩性越高,安全性就很低。例如网站只给用户使用数字密码,越方便反而提高被骇的风险。”网络安全及渗透测试服务专家LE全球服务公司(LGMS)创办人冯宗福建议,设置密码时得遵守两个重点——容易记住,难以破解。 句子变成密码 “我将这两个重点变成“八字真言”。‘容易记住’的诀窍是禁止使用字典上会找到的单词,而是将一个句子变成密码。以“我爱苹果汁”(iloveapplejuice)为例。这个密码全部小写,没有加上任何符号。虽然密码很长,但骇客还是可以运用程式破解,只是需要更长的时间。 “第二个条件是‘难以破解’。即密码夹杂大小写、符号或数字,增加密码难度。我这里通过网上两个小工具去测试‘iloveapplejuice’的强度,其中一个显示要1000年才能破解,另一个是指密码强度只有16%。由于全都是英文小写,充其量是密码有长度,但不複杂。当我把这组密码变成‘IL0v3APpL3Ju!c3’时,前者显示要160亿年,后者指这个密码强度是100%,换言之是难破的密码。” 密码最少要14位数 据英国媒体报道,骇客如果採用“brute force”攻击,只需一秒能动用800万个词组去破解一个人的密码。如果密码太短很快就会被攻破。骇客另一个惯用的手法是“字典攻击”(dictionary attacks)。他们本身会有一个“字典”,里面收纳了数百万甚至千万曾被外洩的密码。在破解密码时,他们就启动“字典”,如果密码里面有英文单词或英文名字,不用几秒就破解了。 在暗网,有很多骇客会贩售或分享他们在寻获的外洩密码。骇客们只需更新自己的“字典”,就可以增加破解密码的成功率。 针对手机密码,冯宗福说,骇客还是可以破解PIN和Pattern密码。目前生物识别密码对比传统密码是比较保险。因为每个人的指纹、虹膜、人脸都不同,可说是专属的密码。然而没有人可以担保,骇客会否有一天破解生物辨识技术。 密码长度非常重要 网络安全公司Alert Logic的技术总监Richard Cassidy曾建议,密码最好有14个字元,因为骇客得尝试811兆次才能破解。他认为,密码长度比複杂程度来得重要。 句子越长,难度越高,骇客可能会先放弃,寻找更容易下手的受害者。若记忆力惊人,能够记得“iloveapplejuice”、“watermelonismyfavorite”、“billieieanisnotmylover”等密码,那就非常好。最差的密码是可以在字典找到的单词,举例像“admin”、“loginpassword”、“computer”等词彙。“如果骇客‘字典’有四百多万组密码,只需20秒就全数扫描完毕。如果是单词密码不到一秒就解开了。”冯宗福说,经过多年累积,他们也组建了自己的“字典”,甚至收纳其他国家语言的密码,如意大利、德国等,因为各别国家用户都有特定词组模式的密码。 他透露,一些系统是可以支援中文密码,但大部分人没有用。“其实中文密码更难骇。”然而,有些系统有些弱点,不接受Unicode编码,即英文以外的字元,如中文、韩文、日文等。用户不妨用拼音去对应自己的密码。比方“管理员”变成“guan1li7yuan3”。配合上述所提及的“八字真言”,再改造成“Gu@N!Li7¥uAN3”。 那么用表情包(emoji)取代密码是否可行?这并非天方夜谭,英国的银行软件开发公司Intelligent Environments在2015年曾倡议,开发emoji密码系统,利用44个emoji表情可以组成349万8308个组合。对于冯宗福而言,他认为emoji符号背后的Unicode没有标准化,在不同的平台,同样的符号会显示不同的Unicode。“在WhatsApp可能是这组Unicode,但是在Viber或微信是不同的。” 你是机器人吗? 登入网站时,偶尔会出现人机验证(captcha),这是一种安全验证机制,以证明本身是人而非尝试入侵的电脑程式。对于captcha机制,他解释,若骇客掌握了受害者的用户名称(username),但没有密码。骇客会设计一个程式,不断将连串数字和字母去测试密码。 “如果网站没有captcha机制,骇客就可以一直测试,直至找到正确密码就能登入了。有些机制是会限定3次或5次尝试。这些captcha就是为了防备这些攻击,例如选图片或输入字母。”如果是金融业务网站则会限制尝试次数,一旦超过就必须亲自去银行或提款机重设密码。另一些则是输入密码失败之后,系统就会冷冻账号一段时间。冻结时间可能长达15分钟或一小时不等,直至用户输入正确密码为止,这也是减缓被骇的速度。 管理密码的方法: 01. 避免在几个平台使用同样的密码。 02. 重新设定密码时,避免重複设定已用过的密码。 03. 至少每3个月更换一次密码。 04. 避免使用字典里的英文单词。若使用,将特定英文字母改成数字或符号。 05. 设定密码时,不要放自己的名字、生日、手机号码、职员证号码等资料。 06. 不要在公司办公桌、群组、网页或电邮公开张贴用户名称和密码。 07. 如果担心忘记密码,抄录在一本簿子,然后严密保管。 08. 不要点击任何陌生电邮发送的链接。 09. 不要发送密码给任何人。 10. 启用双因素认证,保护自己的账号。 11. 小心设定“安全问题”和答案,不要轻易让人猜到。 后记:无论在什么情况下,我们有责任保护自己的个人资料。在社交媒体减少曝露自己的隐私资料,在网上填写任何表格时,仔细阅读用户条款,确保个人资料不会被滥用。认真看待设定密码这件事,就能降低被骇的风险。对骇客而言,没有破解不到的密码,只是时间而已。
2年前
e潮
更多密码管理方法
下一个
结束导览