多數帳號外洩不是有人「破解」了強密碼,而是來自重複使用、太短或外洩的密碼。這篇談什麼才真正讓密碼變強,以及務實的管理方法。
長度勝過複雜度
隨機密碼的強度來自它的熵 —— 大致是攻擊者必須嘗試的組合數。熵隨長度成長的速度,遠快於花俏的字元規則。一個 20 字元的密碼比 8 字元的難暴力破解太多,即使後者有 !@#$。
強制的複雜度規則(「必須含大寫和符號」)常常適得其反:它把人推向 Password1! 這種可預測的模式。長而隨機優於短而花招。用密碼產生器可即時得到長、高熵的字串。
通行短語:又強又好記
對於少數你真的得憑記憶輸入的密碼(裝置登入、密碼管理器的主密碼),用四個以上隨機單字組成的通行短語既強又好記 —— 遠優於短的「複雜」字串。關鍵字是隨機:選你不是因為意義而挑的字。
最重要的兩條規則
- 絕不重複使用密碼。 一個網站外洩,攻擊者會拿那組帳密到處試(稱為撞庫)。每站用不同密碼能把災情圍堵住。
- 用密碼管理器。 你記不住 100 組不同的 20 字元密碼 —— 也不該去記。管理器會幫你產生、儲存、自動填入,你只要記一組強的主通行短語。
加上兩步驟驗證(2FA)
再完美的密碼也可能被釣魚或外洩。2FA 多加一步 —— 驗證器 App 的代碼或硬體金鑰 —— 讓單靠偷來的密碼不夠用。email、銀行與任何重要帳號都該開啟。App 或硬體 2FA 比簡訊更安全。
快速檢查清單
- 網站登入用長(16+ 字元)且隨機 → 用產生器。
- 主密碼用好記的隨機通行短語。
- 每站唯一,存在密碼管理器裡。
- 重要帳號開2FA。
- 絕不把密碼存在純文字筆記、試算表或聊天訊息。
現在就用免費的密碼產生器產生一個強隨機密碼 —— 它用瀏覽器的加密級亂數,不上傳、不儲存任何東西。