你的密碼真的安全嗎?2024 密碼安全完整指南

管管
4 分鐘閱讀 ·
教學文章 資訊安全

「123456」連續多年蟬聯全球最常用密碼榜首。如果這是你的密碼,請現在就去改掉——不是等下,是現在。

這篇文章會告訴你密碼安全的真相:為什麼你以為安全的密碼其實很脆弱,以及如何建立真正安全又不會忘記的密碼系統。

密碼是怎麼被破解的?

在討論如何設定好密碼之前,你需要知道壞人是怎麼破解密碼的。

1. 暴力破解(Brute Force)

最直接的方法:嘗試所有可能的組合。

聽起來很笨?但現代電腦每秒可以嘗試數十億次。一個 6 位數字密碼,在 GPU 加速下不到 1 秒就能破解。

不同長度密碼的破解時間(假設每秒 100 億次嘗試):

密碼類型6 位8 位12 位
純數字立即立即2 分鐘
小寫字母立即5 秒3 週
大小寫+數字立即1 分鐘12 年
全字符集1 秒14 小時400 年

結論很清楚:長度比複雜度更重要

2. 字典攻擊(Dictionary Attack)

駭客不會傻傻地從 aaaaaa 試到 zzzzzz。他們會用「字典」——包含常見密碼、常用單詞、名字、日期等的清單。

這些密碼在字典攻擊下秒破:

  • password123
  • iloveyou
  • qwerty
  • 你的名字 + 生日
  • 任何一個英文單字

3. 彩虹表攻擊(Rainbow Table)

如果網站用不安全的方式儲存密碼(沒加 Salt 的 Hash),駭客可以用預先計算好的對照表直接查出你的密碼。

4. 社交工程(Social Engineering)

最危險的攻擊不是技術性的。駭客可能:

  • 從你的社群媒體找出寵物名字、生日、學校
  • 假裝客服騙你說出密碼
  • 發釣魚郵件讓你在假網站輸入密碼

5. 資料外洩(Data Breach)

你的密碼可能根本不是被「破解」的,而是直接從被駭的網站流出。每年有數十億筆帳密被洩露。

Have I Been Pwned 查查你的 email 有沒有出現在外洩資料中。

什麼才是好密碼?

傳統建議的問題

你可能聽過這些建議:

  • 至少 8 個字
  • 包含大小寫、數字、符號
  • 定期更換

這些建議已經過時了

為什麼?因為這種規則產生的密碼像這樣:P@ssw0rd!

對電腦來說,這比 correct horse battery staple(一串簡單的英文單字)更容易破解。

現代密碼建議

美國國家標準技術研究院(NIST)在 2017 年更新了密碼指南:

  1. 長度優先:至少 12-16 個字元,越長越好
  2. 不要強制複雜度:不需要硬塞符號,重要的是長度
  3. 不要定期更換:除非有洩露跡象,否則不需要換
  4. 使用密碼管理器:讓每個網站都有獨特的密碼
  5. 啟用 2FA:密碼只是第一道防線

密碼短語:好記又安全

密碼短語(Passphrase)是由多個隨機單字組成的密碼,例如:

mango-telescope-river-quantum

這個密碼:

  • ✅ 29 個字元(很長)
  • ✅ 容易記憶(視覺化:一顆芒果旁邊有個望遠鏡,旁邊是河流,河裡有量子)
  • ✅ 難以破解(4 個隨機單字的組合空間巨大)

如何生成密碼短語

  1. 使用擲骰子法(Diceware):擲 5 顆骰子,對照表格找單字
  2. 使用密碼管理器的生成功能
  3. 自己想 4-6 個真正隨機的單字(不要用歌詞、名言)

密碼管理器:不可或缺的工具

「每個網站用不同密碼」說起來簡單,但你有幾百個帳號,怎麼可能記得住?

答案是:你不需要記住。密碼管理器會幫你。

密碼管理器的好處

  • 每個網站自動生成獨特的強密碼
  • 自動填入,不用手動輸入
  • 跨裝置同步
  • 加密儲存,只有你能解鎖
  • 偵測重複使用的密碼
  • 提醒你哪些網站被駭過

推薦的密碼管理器

工具特色價格
Bitwarden開源、免費版功能完整免費 / $10/年
1PasswordUI 優秀、旅行模式$36/年
KeePass完全離線、極客最愛免費
Apple KeychainApple 生態系無縫整合免費

「把所有密碼放在一個地方不是更危險嗎?」

這是常見的擔憂,但其實:

  • 密碼管理器用軍事級加密
  • 你的主密碼從不上傳到伺服器
  • 比起在 100 個網站重複使用同一密碼,密碼管理器安全多了

雙重認證(2FA):第二道防線

就算你的密碼被洩露,2FA 可以救你一命。

2FA 的類型(安全性由低到高)

  1. 簡訊驗證碼:比沒有好,但可以被 SIM Swap 攻擊
  2. Email 驗證碼:跟簡訊差不多
  3. 驗證器 App(Google Authenticator、Authy):推薦使用
  4. 硬體金鑰(YubiKey):最安全,但需要額外花錢

哪些帳號一定要開 2FA?

  • ✅ Email(被駭 = 所有帳號都危險)
  • ✅ 銀行和金融服務
  • ✅ 社群媒體
  • ✅ 雲端儲存
  • ✅ 密碼管理器本身

常見密碼錯誤

❌ 密碼重複使用

這是最嚴重的錯誤。一個網站被駭,所有帳號都完蛋。

❌ 只改一個字

password1password2password3... 駭客知道這個套路。

❌ 用個人資訊

名字、生日、寵物名字、學校名字——這些都可以從社群媒體找到。

❌ 寫在便利貼上

如果你必須寫下來,至少鎖在抽屜裡。

❌ 用瀏覽器記住密碼(但不加主密碼)

任何人借用你的電腦都能看到所有密碼。

立即行動清單

讀完這篇文章,這是你應該做的事:

  1. 今天:去 Have I Been Pwned 檢查你的 email
  2. 今天:選一個密碼管理器,安裝起來
  3. 本週:把最重要的 10 個帳號換成強密碼
  4. 本週:在 email 和銀行帳號啟用 2FA
  5. 本月:慢慢把所有帳號遷移到密碼管理器

密碼安全不是一次性的事,而是持續的習慣。但只要建立好系統,之後就會變成自動化的事。

你的數位人生值得被好好保護。從今天開始。