黛西.柯洛福擁有價值澳幣30萬元左右的加密貨幣,卻無法使用。「我2012年買了五單位的比特幣,」這位42歲的產品銷售平台創辦人表示。「當年,我有五組密碼,用在各種網站。可是幾年後,一單位比特幣漲到澳幣5,000元,我決定獲利了結時,卻忘了哪組密碼用在比特幣上,所以無法登入,本以為只要重設密碼即可,卻發現這個數位錢包無比安全,即使是我當初申購的公司也無法破解。那筆錢現在只能躺在那裡。」
根據密碼管理服務公司Bitwarden 2021年的一項研究,59%的民眾仰賴記憶力「儲存」密碼(導致14%的人一星期必須變更密碼至少一次)。可是,易記的密碼通常也容易破解。「破解密碼主要有三種方法─有人看到你輸入密碼,有人對你了解深入而猜到密碼,還有就是運用複雜的電腦軟體破解,」美國卡內基美隆大學網路安全專家蘿莉.克雷諾教授說。
根據數據安全公司Hive Systems估算,全世界使用最廣泛的密碼─123456,不到一秒鐘即可破解。可是,就算你確定自己的密碼組合安全許多,也不應該指望它。「電腦系統提示我們設定自認為複雜的密碼時,大多數人會犯錯:不是設定一個複雜的密碼後到處使用,就是更改密碼的方式可以預測,」克雷諾教授表示。「舉幾個例子:最常用的數字是1,最常用的特殊符號是驚嘆號。而系統要求我們用大寫英文字母時,幾乎每個人都會把大寫字母放在密碼開頭。」
很多人也選擇使用與自己生活有關聯的密碼。「不過,如果你知道我喜歡的書是《魔戒》,你或許能猜到,我的密碼跟這本書有關,」詹姆斯庫克大學新加坡校區情感連結與數位媒體專家勞勃托.狄倫教授指出。尤其是,社群媒體上你喜歡什麼電影的「趣味」問答、你的化名或者小時候家裡的電話號碼,都可以用來破解密碼。
問題的關鍵是人們對更改密碼會產生強烈的負面情緒,特別是更改必須遵守特定規則,以致我們會抗拒更改。這種思維叫做自珍效應─如果我們已經擁有某樣東西,就不想升級,即使升級後會更好。自珍效應通常關乎實物,但研究人員2019年發現,這種思維也適用於密碼。它導致的憤怒、自衛反應,使我們更難擺脫不良的密碼習慣。
我們如何設定完美的密碼呢?
首先,不用單一的詞語。「我們應該選擇較長的語句,」狄倫教授表示。雖然有專家建議,詞語型密碼應該由三個隨機的詞語組成,但隨機詞語都較難記住,因此狄倫教授建議「選擇對你有意義而且容易牢記,但別人不容易猜中的詞語。」應該使用至少包含10個字母的詞語。
不過,在詞語型密碼中使用完整的單字,仍然使你面臨「字典攻擊法」的風險─駭客利用軟體對字典裡的每個單字與密碼進行交叉核對。因此,你選好詞語之後,還有兩個步驟可加強密碼的安全。
首先,把你選擇的語句轉化成字母。比如,如果《洛基恐怖秀》(Rocky Horror Picture Show)是你青春期時喜歡的電影,你用裡面的主題曲當密碼timewarp17(八個小寫字母和兩個數字,大概一天可破解)。不過,拿主題曲第一句歌詞「It’s astounding! Time is fleeting. Madness takes its toll」,然後擷取每個詞的第一個字母,包括大寫和驚嘆號,可創造出Ia!TifMtit這個密碼。破解需要的時間長達一年。加上電影的上映年度1975,密碼變成Ia!TifMtit1975。根據「你的密碼有多安全」(howsecureismypassword.net)網站,這需要兩億年才能破解。「把數字拆散,分布在前面幾個字之間,會更難破解,」狄倫教授說。
不同於密碼產生器吐出來的密碼,這樣創造的密碼難破解,但自己容易記住。研究人員指出,藉由輔助記憶法(比如歌詞)記住的密碼,可以像簡單的詞語那樣讓人過目不忘,但卻像隨機字串那麼安全。而且,如果你設定密碼時同時哼歌,甚至回想起自己看《洛基恐怖秀》的情景(當年的服裝),你會把密碼記得更牢。「你設密碼時運用的大腦部位愈多,想起密碼的可能性愈高,」墨爾本的佛洛里神經科學與心理健康研究所記憶專家露西.帕瑪說。「使用一種以上的感官,可達到牢記的功效。」
因此,帕瑪建議,要牢記詞語型密碼,首先要集中注意力,告訴大腦「此密碼很重要」,再大聲唱出或說出詞語幾次(確保四下無人),並創造出一個相關圖像。「接下來幾天重複幾次,這有助於將它從短期記憶移到長期記憶專屬的大腦區域。」
這樣就完成了一個密碼的設定,但是,接下來呢?「以這個密碼為主密碼來使用密碼產生器,」克雷諾教授建議。「密碼管理程式(例如LastPass)會產生難破解的密碼以供你用在各個網站,但只要求你設定並記住一個主密碼,用以取用這些密碼。很多人不信任這種程式,不過,有了一個可靠的主密碼,密碼管理程式比你大腦想得到的任何密碼都安全許多。」
密碼陋習
駭客入侵時,會先尋找密碼中的這些模式─你中了幾個?
用鍵盤排序編密碼:例如qwerty、123456或是鍵盤最左側兩排斜置字母qazwsx。
用常見詞:包括運動隊的名稱、髒話、城市名稱或love。
重複字母:這種模式不但經常寫入駭客程式中,如果有人偷看你輸入密碼,也很容易看清楚。
可以預測的位置:不要只在詞語的開頭使用大寫字母,也不要只在詞語尾端加上特殊符號或數字。
你的密碼被洩漏了嗎?試試上「我是否被賣了」(haveibeenpawned.com)網站查詢。
(202201-62-64)