【世界密碼日】這些年，大家一起用的弱密碼

您知道每個五月的第一個星期四是世界密碼日嗎？現代生活每天都過得十分繁忙，您有好好關心過您的密碼嗎？趁著世界密碼日，好好的了解一下關於密碼容易被忽視的問題。

根據 splashdata 的統計，2019 年的十大弱密碼仍是那幾個熟面孔，和 2018 年的榜單做個比較，上榜的密碼大同小異，雖然「sunshine」掉出 Top 10 榜外但也仍是第30名，新進榜的還是更弱的「123123」。並且毫無意外的，仍是「123456」奪下弱密碼冠軍寶座。


什麼是弱密碼呢？就是特別容易被猜中，或是許多人愛用的同一種邏輯所設定的密碼：例如，去年一位國外工程師曾在推特發問，為何 ji32k7au4a83 這個看似安全的密碼在 Have I been pwned 資料庫中出現上百次。然而，這個問題竟然只有台灣網友答得出來，對照注音鍵盤 ji32k7au4a83 = 我的密碼。不僅如此，網友還發現和password、iloveyou相同邏輯的 au4a83、ji394su3 密碼使用量遠超過 ji32k7au4a83。

根據最新美國標準與科技研究院（NIST）所提出的建議，高強度的密碼設定原則，最好包括15個字元以上，並由幾個不相干的名詞或數字組成：例如，VisonExamAttention2020YouLove，這樣超長的密詞可套用自己才知道的邏輯進行組合，比亂數形成的密碼方便記憶，也不容易被破解。另外，若無任何證據顯示密碼有外流的情況，頻率過高的更換密碼，為難的不是入侵者，而是密碼的使用者！

密碼的保護，除了應避免使用弱密碼外，也必須考慮外來的嘗試與破解！當系統遭遇錯誤率過高的外來的密碼嘗試時，應直接封鎖嘗試的來源，而非將該帳號封鎖，這樣才能在避免「暴力破解(Brute-force attack)」、「字典檔攻擊(Dictionary attack)」與「密碼噴灑(Password Spraying)」的時候，不至於困擾擁有正確密碼的主人。

最後，也是大家最容易疏忽的事：千萬不要在多個服務都使用同一組密碼！
一旦任一服務有密碼外洩事件發生時，使用相同密碼的其他服務也跟著一起曝險！

ASRC 研究中心的帳密安全提醒
1. 選擇使用者保護較嚴謹的系統服務，例如一定要有防密碼濫猜的機制
2. 切記，不要一套密碼走天下。不同的服務間使用相同的密碼，只要一個服務的帳密外洩，很容易牽連其他服務帳戶，尤其網路銀行登入密碼更要避免重覆使用。
3. 避免使用公開在外或社群網站可見的生日、姓名、手機等資料做為密碼
4. 雙因子驗證的搭配使用，比定期更換密碼的保護效益有用許多

驗證郵件密碼強度，SPAM SQR 密碼強度檢測模組
企業的電子郵件密碼安全，可透過中華數位科技 SPAM SQR 密碼強度檢測模組定期實施密碼稽核，確保密碼強健度，降低密碼被猜中的風險，避免員工的弱密碼成為資安破口。詳情請洽中華數位科技 02-25422526。