如何設定所有帳號都不一樣、既安全又不會忘記的密碼

約莫十年前,在那「個資不值錢,密碼不需要記那麼多,檔案都存在本機」的年代,多數人仍是一個密碼通行所有帳號的「一碼通」,包括我。

直到某次 eBay 帳號被駭,發信給 eBay 責問,eBay 還怪我被駭的原因是密碼與信箱一樣。雖然心裡嘀咕著明明是對方安全有漏洞,卻也一時無法反駁,一氣之下就把所有帳號全都設定不一樣的密碼,下次要是再被駭對方就賴無可賴。

這一氣之下的決定,反而養成了日後每個帳號都用不同密碼的好習慣。

但記性不好要如何記得那麼多密碼是首先要解決的問題,於是產生了「記密碼規則」的辨法。

以下將公開分享私房如何設定每個都不同,安全又記得住的密碼的技巧,以及可能會遇到的狀況。

 

怎樣叫安全的密碼?

當你正驕傲自已用的是「簡易好記又難猜」的密碼時,別懷疑,通常這類密碼都收錄在密碼字典檔裡了,你想得到的別人也都想得到。

一個安全的密碼,至少要有「英文大小寫 + 數字 + 特殊符號」,且至少 8 碼以上(8碼可能還太少,但是最低要求)

 

你要記的是規則,而不是密碼

了解何謂安全的密碼後,開始定義自已的密碼規則。

首先,第一個規則,是定義每個登入的網站/app裡,找出一個不會變的字串做為「密碼母」的方式,比如品牌、app 名稱或網址,以 Line app 來說,就用 Line 或 Naver( Line 的母公司名)做為密碼母,臉書就用 facebook,或任何你覺得更好的方式。

密碼母是密碼裡的變數,是讓你一看到這個網站或 app 時,套用解出密碼的鑰匙。

定義出找密碼母的方式後,再套用剩下不會變的規則,這樣一來,就能讓所有的密碼都不一樣

舉例:

簡單的方式

假設要設定 facebook 的密碼
密碼母:facebook
規則:生日+名字 + 密碼母,其中密碼母最後四碼用特殊符號
提醒:生日與名字只是為了代表「數字」及「字母」,密碼裡有生日及名字是很不安全的示範!!

這樣的規則套用後,密碼就是:

0101Davidface%((*
(最後四碼為 b、o、o、k 四個鍵各自對應的特殊符號)

這樣一來,密碼就符合有英文大小寫、數字加特殊符號的安全密碼了,數字放前面是有遇過第一碼必需是數字的情況。

雖然這個密碼符合全安密碼的條件,但有心想知道的話,還是容易被參透。

因此可以稍微為做點變化:

把密碼母倒過來 koobecaf,這樣密碼就變成

0101Davidkoob##!$

如果可能的話,最好是把密碼母穿插在生日及名字裡,免得有人同時知道二個密碼時,比對就先知道到一半的密碼了。

以上只是舉列,自已再舉一反三定義屬於自已獨有的規則,好比數字用身份證字號或手機號碼倒過來,每隔一碼取一碼/把名字倒過來/把密碼母混入名字或數字裡。

無論用什麼方式,盡可能讓別人看到密碼時也看不出規則,這樣一來,就算遇到必需要告知別人密碼的情況下,也推測不出別的帳號的密碼。

更猛一點,把密碼母先用 Leet 駭客語編碼後再套上規則,比如 facebook 改用 Leet 編碼後就變成了 f4(3800k,不過這樣似乎有點矯枉過正。

如果碰到僅能用數字做為密碼的情況(如提款卡),就用帳號做為密碼母,套用上述的變化法,比如取帳號後幾碼/帳號後幾碼倒過來/帳號後幾碼倒過來再每隔一碼取一碼,再把每一碼 + 3(最好是加上奇數,因為偶數+偶數一定是偶數,但偶數加上奇數則不一定)。

舉例:

假設帳號為 13572468,密碼為四碼

規則:帳號倒過來,從第二碼開始,每隔一碼取一碼,每一碼 + 3

密碼:9584

 

例外條件

有些較保守的網站,密碼只允許英數,比如銀行或某些系統較老舊的公家機關,還遇過比較誇張的是不能超過 8 碼。

因此,規則裡還要加上例外條件的規則才算完整,以應付「不能輸入特殊符號」、「一定要超過幾碼」,或是「不能超過幾碼」的情況。

舉例:

  • 密碼不能有特殊符號時,就用特殊符號對應的數字來代替(不要按 [Shift]),或是用特殊符號直列某排對應的英文鍵…
  • 不能超過幾碼時,就取頭(或尾)幾碼。
  • 一定要超過幾碼時,就加上固定字串/重複後幾碼/重複後幾碼倒過來/重複後幾碼每隔一碼取一碼…..

 

例外中的例外

由於 Email 信箱是攻破所有帳號的關鍵,因此主要的 Email 信箱就「單獨設定一個高強度,且不符合規則」的密碼,另外記下來。

最後,定義好自已的密碼規則後,在手機的記事裡用只有自已看得懂的方式把規則記下來,同時放個如下的特殊符號對照表,否則人在外面時突然需要輸入密碼時,會想不起來每個符號對應的位置,等習慣後,再把記下來的規則刪掉,免得不小心外流。

!@#$%^&*()
1234567890

 

碰到定期要改密碼的情況怎麼辨?

有些銀行會強制要求每半年改一次密碼,或是公司的安全性政策,要求每一段時間就要改一次密碼。遇到這種情況時,解決方法是在一年裡「指定幾個特別的日子做為密碼母」,如果一年要改二次就定二個日期,每次要改密碼時,就以年份加上最靠近指定的日期做為密碼母,這樣雖然每次密碼都不一樣,但其實也就那二個日期在改來改去而以。

 

所有帳號的密碼都不一樣,除了避免一碼通的情況外,同時也築了一道防火牆。每年總是會有幾起重大個資外洩事件,萬一不幸自已就受害者時,至少能把災情降到最低,以免發生類似這樣的悲劇。

第一次定義自已的密碼規則時會比較頭大,相信我,一但習慣後就永遠不用再煩惱密碼的問題。

高中時曾讀過《電腦叛客》,內容講述的是黑帽駭客手法的真實案件,技術的部份不用說,但所有案件的共通點是「社交工程」(social enginnerring) 佔了很重要的關鍵。

社交工程普遍存在多數的詐騙手法裡,電話詐騙就屬於這類,電影《神鬼交鋒》(Catch Me If You Can) 就是最典型的例子。

因此一定要記住「再安全的系統,最弱的永遠是 “人” 這一環

 

 

相關文章

 

延伸閱讀

 

每年最爛密碼排名