【资安周报第8期】就算没有破解不了的密码，你还是需要一个好的密码管理原则！最新消息

以苹果Apple ID密码设定的原则为例，至少要8个字母以上，要包含英文大小写以及1个以上的阿拉伯数字。

不知道大家是否有跟我一样类似的经验，有一个几乎每天都会都入的网站，某一天，网站系统要求你基于安全考量，必须要变更你原本已经很习惯使用的旧密码，当下，想了一个很有原则、自以为一定会记住的密码后，但是，在下次登入网站时却发现，输入的却还是原本已经习惯输入的密码，先前新变更的密码却是怎么样都想不起来，几次的输入失败后，只好默默的按下网站上“忘记密码”的按钮，重新设定“新”密码。

但是，在重设密码的过程中，或许有很多使用者会感到麻烦，觉得只是单纯设定一个密码而已，为什么还要有那么多规定呢？以设定苹果Apple ID的密码设定原则为例，至少要8个字母，要包含英文大写和小写字母在内，也必须包含一个数字，这也是多数网站在设定密码的普遍要求。

烂密码设定原则：简单、随处可见、不用花大脑

“对骇客而言，没有破解不了的密码，只有要花多少时间破解的密码而已。”早期许多人的密码设定相对简单时，好记不容易忘掉是最主要的设定方式，也因此，有一些骇客甚至有一个完整的使用者数据库，包含某个账号使用的不同密码，或者是透过字典式的暴力破解方式，就可以在几天之内，破解某个网站使用者的密码，进而控管使用者的账号。

但是，现在使用者每天要登入或使用的网站服务越来越多，每一个网站甚至都包含许多重要的个人资料在内，如果骇客可以掌握使用者的账号和密码，每个使用者资料形同袒荡荡地对骇客们公开。

因为好的密码管理就是一种对于个资的基本保护，使用者更应该要避免使用容易被破解的烂密码，确保账号的安全性。以日前密码管理程式供应商SplashData公布的2015年最烂的10个密码为例，依序排名是123456、password、12345678、qwerty、12345、123456789、football、1234、1234567及baseball，其中123456和password更是过去从2011年～2015年最烂密码排名前二名。

观察上面烂密码的共通特色，就是“简单”、“随处可见”加上“不用花大脑”，像是设定连续数字的密码设定，往往都是满足该网站密码设定的基本字数限制，如果早期网站设定密码至少要6个字母，有些人在设定密码时，就是设定越简单越好，依序设定阿拉伯数字为密码，长度则以符合网站对密码长度的限定，这样的密码设定使用者绝对不会忘记。

若是设定密码为password，对于以英文为母语的民众而言，设定密码时，使用者就可以照着网站设定密码栏目上的“Password”，照本宣科输入password作为密码即可，；另外若是按照键盘字母的排列设定“qwerty”为密码，也是一种看着键盘输入密码的方式。上述两种密码设定方式，就是一种以一随处可见的单字或东西，作为密码设定的原则。

最后一种不用花大脑的密码设定方式就是，以生活中最日常生活中最常使用的物品或者是最喜欢的运动等，作为密码设定的原则，因此，在美国地区出现football或baseball的密码，不仅符合美国民众国情，使用者在设定这些密码时，甚至完全不用花大脑做设定。

网站密码设定原则是一种商业考量而非技术考量

我们当然知道，如果可以设定越复杂的密码，使用者的账号相对越安全。但是，就网站管理人员而言，密码设定到底要多复杂，其实是一种商业考量而非技术考量，除了这样的密码设定原则已经是业界通则、大家都可以接受的情况下例外。

以目前一般网站的密码设定都至少要8个字元以上，上限设定多以30个字元为限。对网站管理人员而言，30个字元长度的密码往往会比只有8个字元长度的密码不容易被解，也相对安全，而一般人对于密码长度的记忆，最长不超过15个字元。

如果，网站管理员为了确保使用者账户安全，而强迫大家设定30个字元长度的密码时，最终可能的后果就是，使用者因为密码太长、永远记不住，每次都要重新设密码好麻烦，干脆不要来算了，最终就陆续离开该网站。当网站使用人数越来越少时，对网站可以带来的商业价值就越低，因此，密码设定原则有些时候反而是一种商业考量而非技术考量。

要怎么设定好的、安全的密码，多数人应该都有概念，除了基本长度要8个字元以上，许多资安专家则建议最好可以设定15个字元长度外，其他则包含英文字母大小写以及1个以上的阿拉伯数字，有些网站也会要求加入一个特殊符号或者是可以允许空白键设定，借此增加密码设定的复杂度而用来作为网站密码设定原则。另外也要注意，要限制错误密码输入的次数，减少骇客暴力破解的可能性。

双因素认证机制提高网站登入的安全性

“所有资安技术最大的弱点都是人”，除了要遵守上述这些繁复的密码设定原则外，更重要的是，使用者要有足够的资安意识，才可能真正做到“不共用密码”、 “不使用重复密码”以及“定期变更密码”等安全密码准则，这样的密码设定才会真的是比较安全的密码。

许多人可能和我一样，用来用去的习惯密码就是那几个，好不容易习惯使用A密码，背起来B密码，备用C密码，笔记本上抄了另外一组D密码作为备用密码的备用。但是，现在每天使用要登入的网站服务，早就超过平常使用的密码组数。

不同网站使用相同密码的风险在于，一旦某一个网站的账号密码外泄，骇客就可以利用这些账号密码在其他网站尝试登入，假若使用者在不同网站仍使用和被骇网站相同的账号和密码时，骇客就可以利用这种资讯拼图的手法，掌握使用者在不同网站的相关资讯，甚至可以进行各种诈骗服务。

所以，有些人学会利用第三方工具协助确保网站密码的安全性，像是，除了使用浏览器“记住密码”的功能外，也有一些人会使用一些密码管理服务，帮助使用者记住不同网站复杂的登入密码，除了少数网站服务外，这些密码管理服务机制可以代登入不同的网站，而使用者只需要记住一个安全的密码管理服务的登入密码即可。

遗憾的是，这样的密码管理服务本身也具有一些资安风险，像是很受欢迎专门管理各种使用者密码的LastPass，在2015年6月时，就曾经发现遭到骇客入侵；今年1月中旬，也有资安研究人员发现，LastPass存在一个可跨站伪造登出讯息的Lgout CSRF（Cross-Ste Rquest Frgery）漏洞。这表示，当使用者浏览一个具有XSS（跨站攻击）漏洞的恶意网站时，只要侦测到网络使用者有使用LastPass服务，就会利用这个Lgout CSRF漏洞，发出一个伪造的登出讯息，要求使用者重新登入；而这个重新登入的网页，其实就是一个和真实LastPass一模一样的钓鱼网站。当骇客有这个密码管理服务的主要登入密码后，就掌握使用者所有的登入密码了。

为了提高密码的安全性，现在有越来越多的网络服务业者提供双因素认证（Two-Factor Authentication），一个是输入你所知道的（Somethong You Know）自行设定的账号和密码，一个就是输入你所拥有的（Something You Have）的第三方装置所提供的验证机制；而在早期，这个第三方验证机制通常是一种会因为时间（Time-Based）或次数（Event-Based），提供不同变动数字的权杖（Token）装置，但随着各种行动装置的普及，以个人手机的简讯代码作为第三方认证的装置更为常见；使用者私人的电子邮件的认证连结，则是另外一种常见的第三方验证机制。

对使用者而言，要确保使用者使用网络服务的安全性，就必须要确保使用者账号和密码的安全性，除了密码设定符合基本的密码复杂度外，也可以在系统中，透过资安稽核的机制，强迫使用者定期检视密码的安全性与强度。不过，在实务操作上，双因素认证是一种相对安全的密码认证机制，也有越来越多网络服务业者以双因素认证确保使用者账户密码的安全性，对于担心网站账号密码安全性的业者而言，这是一种可以提供的服务，也是一种使用者确认该网络服务业者是否在意使用者账号密码安全的特征。

本周（1/24～1/30）重要资安事件回顾：

※ 甲骨文将终止支援Java浏览器外挂

※ 英汇丰银行遭DDoS攻击，网络银行服务受阻

※ 美国推出数位注册服务，帮民众验证官方社交账号真伪以防诈骗

※ Google六年来已付出超过600万美元抓虫奖金

※ 当心! BlackEnergy木马程式出现Word新包装

※ VirusTotal线上扫毒服务现在可以侦测固件恶意程式

※ Safari搜寻建议功能出包，在网址列上搜寻就当机

※ 美众议院要求各政府机关提出Juniper装置修补报告

※ 张善政接任过渡内阁阁揆，与新政府打造交接典范，强调资安无缝接轨

※ 联想SHAREit遭爆有多个漏洞，甚至采用12345678固定密码

※ OpenSSL于1月28日修补两个安全漏洞，包含一个高严重性漏洞