密碼可能是記者面對駭客入侵的最後一道防線。技術專家Ben Finn在本文中說明記者應如何升級密碼、強化數位安全規劃,而非任其成為安全隱憂。
密碼通常是保護記者機密與重要資訊的唯一一道防線,但駭客可輕易地使用常見密碼清單,以每秒嘗試一萬至十億組密碼的速度執行暴力攻擊。因此,記者應永遠使用各網站或帳號專屬的獨特強式密碼,以確保自己與消息來源的安全。
- 使用詞組密碼而非單字密碼。即使您在單字密碼中加入特殊字元與數字,三到四個字構成的詞組密碼仍較多數單字密碼更為安全。
- 使用密碼管理程式。1password、bitwarden與KeePass等服務可讓您儲存多組複雜密碼,而無須自行默記或寫下這些密碼。
- 開啟多重要素驗證。在情況許可時使用多重要素驗證,此功能需要二道以上的安全性檢查程序 – 如傳送至手機的獨特代碼等 – 以保障您的帳號安全。
- 絕不使用規律性密碼。說明其目的或使用常見詞語的密碼易於破解。例如,「123456」或「password」等前十組最為常見的密碼往往列在可公開取得的清單中,因此最容易遭到破解。
- 不使用重複的使用者名稱與密碼。使用多組使用者名稱和密碼可讓駭客更難以辨識相連帳號。如有密碼管理程式,則您便無須使用重複的密碼。
- 不在密碼中使用可識別身份的資訊。密碼應與可公開取得的任何個人生活資訊無關。眾所周知,在猜測特定個人的密碼時,駭客會嘗試使用個人資訊,並可直接將這項資訊加入其密碼字典、嘗試上千種組合。例如,網站或許會告訴您「Mark&Jane1982」這種密碼安全無虞,但此類密碼在數秒內就可能遭到破解。
- 混淆處理密碼。密碼自動檢查程式通常會將以數字或符號取代字母(如將「officepassword」改為「0ff!c3_p4$$w0rd」)的密碼評為「強」,但這種密碼可輕易在基本的密碼字典中找到。混淆處理本身雖非解決方法,但在搭配一般密碼字典不會收錄的隨機詞組密碼使用時卻可發揮重要作用。
- 檢查自己是否遇駭。Have I Been Pwned等網站可讓您確認自己的電子郵件或電話是否曾遭到入侵,或者個人資料是否失竊轉存。如發生以上情況,請立即變更密碼。
- 確認自己密碼的安全強度。您可使用這項工具測試新密碼,並算出一般駭客需花費多久時間才能破解。建議您不要使用自己的真正密碼測試,以進一步確保安全;但您可用其測試類似密碼。
作者Benjamin Finn來自美國休斯頓,在 IT 領域已有十年資歷,期間主要工作為替大型企業部署內部資安工具。過去兩年來,他致力於研究如何於專制民族國家 (確切來說,其研究環境為緬甸) 維持合適的資安水準。他也和台灣的多個團體合作,為其進行確切落實資安和安全措施的培訓。
