公司一位女同事因不慎把豆漿打翻在筆電,導致無法開機,換一台新電腦後,所有網路平台都得重登。「不過好在她網站都用同組密碼,不然就 GG 了。」行銷部同事 A 子很輕鬆地敘述事發經過,但身為資深工程師的我聽了直冒冷汗,想必這位女同事還沒受過密碼外洩的苦啊。最近才有一則新聞提到,有超過 51% 的常用密碼會在 1 分鐘內被 AI 破解,這是很可怕的事呢!
關於「密碼管理」的5個 QA
多數人都知道密碼設太簡單會有外洩可能性,卻仍使用同組密碼登入各平台,或明明知道有很多便利的「密碼管理」工具卻沒使用、擔心很麻煩或有額外問題產生。幾年前有個國外記者,他的 Apple、Amazon 和 Google 用同組密碼,設置的密碼也很簡單,最後個資外洩,連綁定的信箱都被改掉,駭客還知道要開啟自動同步,導致本人透過「忘記密碼」也找不回資料,損失慘重。
把資料存在雲端上已經成為一種便利的趨勢,一旦被盜帳號,很可能成為駭客勒索的對象,還是老話一句,不要真正碰上才知道問題的嚴重性,以下這幾個是我最常被問到的問題,我以 QA 方式回覆:
1. 用瀏覽器內建的自動儲存密碼功能安全嗎?
用瀏覽器內建的自動儲存密碼功能,對於各網站的登入來說是很方便,但這樣不代表很安全,因為它只有「密碼儲存」功能,沒有資訊安全威脅防護。舉個我講很多次的例子,如果你的筆電不慎遺失,任何拿到電腦的人都能透過瀏覽器登入你的帳號做任何事,想使用瀏覽器紀錄密碼,就要想好如何保護密碼外洩問題。
2. 透過「忘記密碼」重設密碼是否安全?
這取決於你使用的網站方,他們採用的「忘記密碼」服務是好還是壞而定。有些網站對於「忘記密碼」的恢復流程設置很嚴謹,但大多數網站都是在你按下「忘記密碼」時,寄送重設密碼函到個人信箱,倘若你的信箱早被就被駭,那就跟門戶大開沒兩樣。有小部分的網站,還會採用很早期的,直接把正確密碼寄送到信箱。透過「忘記密碼」功能回想密碼,根本是把密碼管理權交給別人,而且,使用越多次忘記密碼,你在密碼管理上會越來越混亂,當你看到「不能設置與之前同樣密碼」時,肯定內心大暴走。
3. 用密碼管理工具很麻煩?而且還是要記密碼
使用密碼管理工具並不麻煩,最怕的是連登入的「主密碼」都記不住(笑),其實換個角度想,只需要記住一組密碼就好,其他的密碼都能使用「密碼管理」工具產出又長又複雜的隨機密碼,這種便利性是無可取代的,有人會問,那這樣不是更危險?駭客只要知道「密碼管理」工具的主密碼根本就赤裸了。基本上只要密碼字元超過 18 字,要被破解的機率真的很低。
