I Stand Up For Myself

文章來源：https://lifehacker.com/5937303/your-clever-password-tricks-arent-protecting-you-from-todays-hackers

中譯：Davidhu127

背景：

1. 今天，我們硬體的計算能力已經比往年大很多，可以達到每秒數 10 億筆密碼組合猜測。

2. 隨著時間，駭客愈來愈能掌握人們是如何設定密碼的，透過一次次的密碼外洩事件，駭客蒐集到的密碼資料庫也愈來愈大，進而可以透過分析資料中高可能性的組合，來做暴力破解。

對策 A：

　每個網站使用獨特的密碼，以分散風險。如果其中一個被猜出來了，其餘的還是安全的。

　但前提是，它們彼此之間要是「完全獨立」的才行！如果你都是同一串密碼，只是稍微改了其中幾個字，那麼駭客也有可能可推敲出你的命名規則！

eg. 如果你用 ro7CSfb2V3p1 當作 FB 密碼，然後用 ro7CSyah2V3p1 當作 yahoo 密碼，

　當駭客知道了前者，將會有可能使用 "yahoo" 相關的字詞來做猜測。

對策 B：

　使用「真亂數密碼」，也就是使用一長串亂數產生器生成的密碼。那麼駭客如果想要破解，將無法採用字典攻擊法（也就是上述的用資料庫組合字詞），必須透過從 0000000 ~ aaaaaaa 的原始暴力破解法。這樣一來，複雜度瞬間標升到 10^23 種可能性（以12位數的密碼為例），即便是現今每秒數十億筆的計算能力，也需要約 10^6 年才能破解，可以說是等於無法破解了。

　但重點仍然跟 對策A 一樣，你必須確保每個網站都使用「獨特」的密碼，不能只是稍微修改其中幾碼而已，否則安全性將會大大的降低（例如：在不安全的網站使用這類密碼，然後遭外洩）

最後，推薦密碼管理工具，常見的像是 LastPass, KeePass, 或 1Password

你可能會想說，把密碼收集起來集中管理，不是很危險嗎？（編：我也曾經這麼認為XP）

但是換個角度想，既然你不再需要親自記住那些密碼，你便得以把你的密碼設定成「真隨機密碼」，並且每個網站都是「獨特」的，大大增加各帳號的安全性。

至於密碼管理工具，會不會被破解呢？

其實現在很多管理工具都有頗高的安全性，例如兩步驟認證，或者多管道認證方式，因此還算安全。

附上 LastPass 中文教學：https://www.pcsetting.com/freeware/41

希望此文章帶給你幫助囉！^__^