密碼安全完整指南:保護你的數位生活
根據 Have I Been Pwned 的統計,截至目前已有超過140 億筆帳號密碼在各種資料外洩事件中被曝光。密碼安全不再是「如果」的問題,而是「何時」的問題。本文根據 NIST(美國國家標準暨技術研究院)的最新指南,教你如何建立真正安全的密碼。
NIST SP 800-63B 的密碼建議
NIST 在 2017 年發布並持續更新的 SP 800-63B 數位身分認證指南,顛覆了許多傳統的密碼規則:
不再建議的做法
- 定期強制更換密碼 — 研究顯示這反而導致使用者選擇更弱的密碼
- 強制複雜度規則 — 要求「至少一個大寫、一個數字、一個特殊字元」不一定能提升安全性
- 密碼提示問題 — 這些問題的答案通常容易被猜到或從社群媒體獲取
建議的做法
- 最少 8 個字元,建議 12 個以上
- 支援至少 64 個字元的密碼長度
- 檢查密碼是否出現在已知外洩資料庫中
- 允許所有可列印的 ASCII 字元和 Unicode
重點摘要:NIST 的核心觀點是「長度比複雜度更重要」。一個 16 字元的簡單密碼比一個 8 字元的複雜密碼更安全。
常見的密碼攻擊方式
| 攻擊方式 | 原理 | 防禦方法 |
|---|---|---|
| 暴力破解 | 嘗試所有可能的組合 | 使用長密碼(12+ 字元) |
| 字典攻擊 | 使用常見密碼列表 | 避免常見詞彙和模式 |
| 撞庫攻擊 | 用外洩密碼嘗試其他網站 | 每個網站使用不同密碼 |
| 社交工程 | 透過欺騙取得密碼 | 使用 2FA、提高警覺 |
| 釣魚攻擊 | 偽裝成合法網站騙取密碼 | 檢查 URL、使用密碼管理器 |
OWASP 的密碼建議
OWASP(開放式網頁應用程式安全計畫)的認證備忘單提供了更具體的建議:
- 使用安全的密碼雜湊演算法(bcrypt、scrypt 或 Argon2)
- 實施帳號鎖定機制,防止暴力破解
- 提供密碼強度即時反饋
- 鼓勵使用密碼管理器和密碼產生器
如何建立強密碼
方法 1:使用密碼產生器
最簡單也最安全的方式是使用密碼產生器。隨機產生的密碼沒有任何模式可循,是最難被破解的。搭配密碼管理器使用,你不需要記住這些複雜的密碼。
立即使用密碼產生器 →方法 2:密碼短語
將多個隨機的詞彙組合成一個密碼短語,例如「正確-馬匹-電池-訂書機」。這種方式既容易記憶又有足夠的長度和複雜度。
方法 3:個人化但不可預測
使用對你有意義但他人無法猜到的組合。避免使用生日、寵物名字、地址等容易從社群媒體獲取的資訊。
密碼衛生習慣
- 每個帳號使用獨特的密碼 — 絕對不要重複使用密碼
- 啟用雙重驗證(2FA) — 即使密碼外洩也能保護帳號
- 定期檢查外洩狀態 — 使用 Have I Been Pwned 檢查你的帳號
- 使用密碼管理器 — 安全地儲存和管理所有密碼
- 注意釣魚攻擊 — 不要在可疑的網站輸入密碼
結語
密碼安全是數位時代每個人都需要重視的議題。遵循 NIST 和 OWASP 的建議,使用密碼產生器建立強密碼,搭配密碼管理器和雙重驗證,你就能大幅降低帳號被入侵的風險。
參考文獻
- NIST. "Digital Identity Guidelines: Authentication and Lifecycle Management." NIST Special Publication 800-63B, 2020. https://pages.nist.gov/800-63-3/sp800-63b.html
- OWASP. "Authentication Cheat Sheet." OWASP Cheat Sheet Series, 2024. https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
- Hunt, Troy. "Have I Been Pwned: Check if your email has been compromised." haveibeenpwned.com, 2024. https://haveibeenpwned.com/
- Grassi, Paul A. et al. "Digital Identity Guidelines." NIST SP 800-63-3, 2017. https://doi.org/10.6028/NIST.SP.800-63-3