[資訊安全]建立密碼最佳實務
資訊時代,人人都要有密碼,但人人都討厭要設定密碼。
設定密碼,到目前為止,這還是一個快速好施行,而且成本相對低的的方式,但也是很多人的痛。
相信很多人都看過以下的密碼設定原則.
一、為提高密碼破解之難度,設定原則如下:
1.密碼設定長度至少為8個字元的字串。
2.應使用數字、大小寫字母及符號(例如:# % $ @…)混合穿插的密碼字串。
3.避免使用重複、過於簡單且易於猜測或與帳號相同的字母或數字 (例如:aaa、abc、123…)。
4.避免使用他人容易取得之資料設為密碼(例如:英文名、生日或電話…等)。
5.避免使用字典查得到的單字或機關名稱縮寫(例如:car、CYUT…等)。
二、為確保密碼使用之安全性,須注意事項如下:
1.應每6個月變換一次密碼。
2.勿與他人共用帳號密碼。
3.勿將密碼書寫並張貼於電腦螢幕或桌上等明顯處。
看完後你的感覺是? 想罵人? 想打人?我想都很正常.
我們可以試著利用密碼產生器,產生密碼,密碼應該會長得像這樣:
RbIXcA#!/90!Pz54(
想請問一下,沒寫起來,有多少人可以在三分鐘內背起來?
怎麼辦?有沒有比較好的方法來處理這件事? 用一些密碼規則幫助自己記憶,其實是一個比較好的方式。這裡提供了幾種密碼規劃方式,給各位參考。
- 規則: 公司統編@分機號碼+個人工號,組合出來的密碼會如下:
111111@3000+TA123456
- 規則: 個人mail ID&&實驗室代號@公司名稱
Mich.Ko&&ThermalLab@GoGogel
給國泰世華(ID: 013)網路銀行使用
- 規則: 個人農曆生日,用西元表示++銀行代碼++銀行名稱(使用www.cathaybk.com.tw, 裡的 cathyaybk, 並將 c 變大寫)
19900202++013++Cathaybk
若是密碼是要給ATM使用,目前ATM 可以接受的密碼長度為 8–12,要如何產生?
- 規則: 個人生日(農暦)+母親生日(農暦),有沒有很好記,還不會忘? 強迫自己記得自己父母親的生日
731122400906
用這樣的方式,找出自己的規則,密碼長度再長你自己要記起來都不是問題,而在密碼學裡,長度愈長的密碼要被暴力破解的時間會大到不可能
這裡提供一個線上檢查密碼的工具,給各位參考。若你有疑慮不要放上自己的密碼,但可以檢查如上產生出來的密碼,你就可以知道用上面產生出來的密碼被破解的可能能性有多低 ?
https://www.security.org/how-secure-is-my-password/
可能會有人問,密碼到底可不可以寫起來? 我個人看法是可以寫起來,但不要讓別人容易看到,例如貼在螢幕上,或是貼在提款卡上。分開存放是一件很重要的事。資訊安全,有一部份的基本觀念很重要,把基本功做好,就安全一半以上了。
另外, 原始作者Bill Burr 對這樣的原則, 他也感覺到並不恰當 (現代密碼要求數字與字母混合、大小寫,發明者很後悔 | iThome), 於是在2017年6月, 由NIST 擔任技術顧問的Paul Grassi, 撰寫了新一件的安全文件.