最近幾年除了公務機關,以及金融單位致力於改善加強資訊安全以外。因應個資保護法的關係,連帶著各企業公司行號、學校機關、公益團體,也開始著重於保護客戶、消費者的隱私而開始加強資訊安全的相關措施並且落實執行。
然而,過去幾年常見的資訊安全措施中,常常採用的複雜密碼原則,時至今日再回頭檢視。也開始有很多專家學者提出有必要的再提升一些觀念及做法。今天我們就來介紹一些” 提升密碼安全 “的做法:
複雜密碼原則
過去幾年裡,關於加強密碼複雜的原則已是大家很熟悉的規律做法,諸如:
。密碼要8位數以上
。要有大、小寫英文字母
。特殊符號
。2次不重複的密碼
於是一些常見的密碼就開始變化形態來符合上述的密碼原則,例如password變化成P@ssw0rd。
2017年ITHOME的報導指出
明明password變化成P@ssw0rd已經符合密碼原則了,但為什麼還是不安全?
因為,高明的駭客也掌握了這些原則後,暴力破解密碼時也開始加入了一些預測機制,舉例來說將英文字母A換成同音的@,將英文字母o換成數字0。於是駭客們就更容易預測、以及破解符合密碼原則的複雜密碼了。
然而這些密碼原則已經廣泛的推廣在公務機關、各大企業公司行號,要怎麼能夠再提升密碼的安全性?
這裡我們建議大家與其選用一個字,不如使用一串熟悉的文字組合。例如:開始美好的一天Gooddaystart,然後我們加上一個驚嘆號Gooddaystart!
這樣一串有意義的字詞,再加上只有自己習慣的特殊符號或是數字。會比單純只使用一個字來的安全!
以上的說明,只是針對密碼複雜度的安全做一些觀念上的改變,然後還有更多的細節也需要普遍的落實在每一個人的觀念,這裡我們提出幾點:
。不要用鍵盤的連續排列來作為密碼考量QWERTY或是!QAZ@WSX之類
。不要用公司名稱或是街道名稱及門牌號碼
。出生日期、或是連續數字1234567890
。相同的密碼,盡量不要使用在同一組帳號,例如Yahoo、Google、Facebook都使用同一組密碼
。至少六個月變更一次密碼
以上的說明,希望能對大家在變更密碼時,更有幫助。