英國Sophos公司的資深安全專家施爾(John Shier)在CNBC網站撰文說,身為網路安全顧問,他經常聽說人們因為密碼設定太簡單而被駭客竊取個人訊息。
施爾說,他研究網上犯罪行為、戰術、技巧與程序長達20年。他發現駭客很喜歡人們犯下以下6個與密碼有關的錯誤:
(1)重複使用相同密碼
超過三分之二的美國人會重複使用相同的密碼,但這麼做只會增加資料外洩的風險。
也有人不想替每個帳號創設新的密碼,就使用只有一點點差異的密碼,例如:多一個數字或符號。但這麼做也很容易讓駭客破解密碼。
改善方法——每個帳號使用一個獨特的密碼。你可以用密碼管理員(password manager)來幫你管理多組密碼。
(2)使用含有個人訊息的簡單密碼
最好的密碼不一定很複雜,但很難猜到。你的密碼不應該包含很容易猜到的個人訊息,例如:姓名和生日。
改善方法——更改密碼為至少12個字,而且不含很容易猜到的個人訊息。
(3)只替「高風險」的帳號創設獨特密碼
很多人只替他們認為含有敏感訊息,或比較可能被入侵的帳號創設獨特的密碼,例如:網路銀行,而其他帳號的密碼設定就比較隨便。
然而,對於駭客而言,光是你的電子郵件地址或電話號碼,只要結合竊取而來的其他訊息,都會變得很有價值。
改善方法——替每個帳號創設一個獨特的密碼,即便你很少使用的帳號也是如此。
(4)沒有使用密碼管理員
密碼管理員可以幫助你創設獨特、單一使用的密碼,而且在你登入帳號時自動填入密碼。對於55%只靠記憶力來管理密碼的人來說,密碼管理員能幫上大忙。
即使你不小心點擊「網路釣魚」(phishing)的連結,你的密碼管理員也能辨識出,而且選擇不自動填入密碼。
改善方法——選擇使用適合個人舒適程度和技術程度的一種密碼管理員。施爾推薦人們使用1Password、Bitwarden、Dashlane和LastPass這幾種評價比較高的密碼管理員。
(5)不使用多重要素驗證系統
即便最複雜的密碼也可能被破解。多重要素驗證系統(multi-factor authentication)要求你在每次登入時,在輸入帳號和密碼之外多做一個驗證動作。比如說,它經由SMS或電子郵件把一次性的密碼寄給你,讓你輸入。這麼做可以給你多一層的保護。
改善方法——如果你登入的網站有支援多重要素驗證,你就應該開啟這項功能。
(6)對使用密碼的不良習慣很麻木
人們很容易認為自己不會遭到網路攻擊。但萬一你遭到攻擊,你必須承擔個人身分被盜用、財務損失等風險。所以,你最好為最糟糕的情況做準備。
改善方法——不要假設你是安全的。你應該不斷的評估密碼安不安全,而且在新的驗證技術出現時,盡早採用。◇