網路普及,對民眾生活帶來重大影響,使用各種網路服務如:收信、購物、玩遊戲…等,已成為每日都會進行的活動,密碼則是網路服務最常見的身份辨識工具,也是駭客最想攻擊的目標。
密碼管理軟體公司SplashData分析數百萬個被駭客盜用的密碼,並於日前發布一份名為「本年度25個最糟糕密碼」的報告,依序排列出2011年25個最被普遍使用的密碼,分別是password、123456、12345678、qwerty、abc123、monkey、1234567、letmein、trustno1、dragon、baseball、111111、iloveyou、master、sunshine、ashley、bailey、passw0rd、shadow、123123、654321、superman、qazwsx、michael、football。
這25個常用的密碼,主要分成三種類型。第一種為常見的姓名,如:ashley、michael,或是日常生活常使用的名詞,如:password、football;第二種為數字或英文排序,如:123456、111111,或是結合排序的英文和數字,如abc123;第三種則是依據鍵盤上的數字配置作為網路密碼,比如:qwerty、qazwsx。
SplashData執行長Morgan Slain表示,在很多資安事件中,駭客因為重複嘗試這些普遍使用的密碼,進而成功登入帳號,這意味著儘管不斷宣導要使用更安全、更複雜的密碼,卻仍有很多人為了方便記憶,而選擇安全度低、容易被猜中的密碼,或是直接選用來自字典的單字,這都讓密碼暴露於被竊取的風險中。
對於密碼管理,Morgan Slain提出以下兩點建議:
第一、使用至少八個混合性的符號。
第二、避免在不同的網站使用相同的帳號與密碼組合。
另外,《資安人》雜誌78期「你的密碼安全嗎?」一文,則點出三個管理原則:
第三、重要之應用系統的密碼,至少每三個月更換一次。
第四、密碼組合若是採用與自身相關的資訊來組合,盡量不要使用個人基本資訊所組合,最好自己建立一套規則,且包含平常鮮少使用之資訊內容來組合,如:小時候自己最喜歡的寵物名字。
第五、密碼若採較為複雜組合規則,需記錄在記事本或是電子檔案中,須妥善保存置放於不容易取得之位置,最好不要與存放於電腦附近,或是該資訊紀錄再加上簡單之編碼規則。