從近期一銀盗領事件,及幾次應邀演講的聽眾反應。資訊安全那裡只是買一些資訊安全設備,豈只是資訊人員或資安人員的事情,若沒有全體人員的資訊安全意識,資訊安全都淪為空談。我常常問學員:「一條鐵鍊,從兩端一直用力拉,會從哪裡斷開?」絕大多數的回答是:「從中間斷掉。」但正確的答案是:「從最弱的那一環斷掉。」資訊安全也是如此。
首先要談的是密碼的管理,下表是近年來資安團隊對常用密碼排名的調查:
.JPG)
資訊來源:黃端祥 整理
大部分的資訊系統都可以容許有三次打錯密碼的機會,拿前三組常用的密碼去測,將近有四成的機會可以猜中,可怕嗎?如果系統中有你或妳的珍貴資料,後果會是如何?不堪設想吧!
絕對要避免的密碼:
1. 嚴禁不設密碼
2. 上表中出現的常用密碼
3. 與帳號相同或與主機相同
4. 只是在帳號後增加一兩個字元
5. 與個人資訊相關的密碼,如:生日、身分證字號、英文姓名、手機或電話碼學等,其他相關如公司、部門等資訊為密碼。
6. 不可使用同一個密碼
7. 避免使用英文單字或詞語,如 iloveyou 、monkey、superman、
8. 避免全部使用數字
9. 避免連號或順序,包含鍵盤上的順序,如:nopqrs 、qwert、987654...
10. 嚴禁把密碼寫在紙上;貼在螢幕或桌上。
較佳的密碼設定原則:
1. 密碼越長好,最短也應該在八個字元以上
2. 密碼沒有明顯的含義
3. 密碼要能記得住,一個連自己都記不住的密碼是沒有意義的
4. 密碼含有大小寫字母、數字及特殊符號
5. 定期更新,以不超過三個月為原則
密碼設定小技巧:
1. 以中文輸入法按鍵當成密碼,例如「密碼」的注音輸入為au4a83
2. 將英文字母順序位移,例如:password往後位移二個字母變成scuuyqtf
3. 將英文字母與數字穿插,例如: pass + 1234變成 p1a2s3s4
4. 將數字或英文字母對應到符號,1用!代替;2用@代替;…,或q用!代替等。
例如:
.JPG)
5. 英文字母大小寫穿插
設計密碼規則:
從以上的原則及設定技巧,我們可以「設計」一套屬於個人的密碼規則。我們要記的就不是密碼,而是規則了。舉例來說,我們要設定臉書帳號的密碼,我們先找一下「素材」:
一、 臉書的注音輸入是「xu06gj」
二、 英文是「facebook」
三、 該應用系統最重要關係人的資訊:如女友或死黨的生日、電話
所以我們可以簡單設計一下規則:
一、 取帳號中文輸入法前四碼,且英文大寫
二、 帳號英文前四碼位移2位
三、 穿插女友電話號碼(例如:1234)
四、 定期換密碼,每季以符號,加在設定的密碼中
那就會變成XU06h1c2e3g4!!,這樣的密碼應該還可以。密碼的設計並不是只有筆者所設計的這一種,是可以千變萬化的,如位移可以是往前移、往後移、隨著季節移,或是用鍵盤的位置上下移。大小寫也可以抓第幾個字母或隨季節抓。素材也不是只限筆者所列的而已。
其他幾個重要的提醒:
一、 不要公用電腦上輸入密碼,因為該電腦有可能被植入側錄程式。
二、 不要在不安全的網站上輸入重要的密碼,網址要確認。
三、 不要使用不用輸入密碼的WIFI。
四、 不在e-mail上留下密碼或個資。
五、 一定要裝防毒軟體。
六、 廣告信的連結不可以隨意點選。
七、 色情網站木馬程式很多,慎入。
八、 別以為封閉網路有絕對的安全。
世上沒有絕對的安全,但還是有相對的安全。
本文作者,目前任職於中華民國資訊經理人協會 常務監事