密碼設到「困難」才是安全？沒做這件事，一樣危險

2024/10/01

2,945

摘要

本文作者為W3C（全球資訊網協會，為全球資訊網的主要國際標準組織，為半自治非政府組織）的邀請專家。
以下問題的回答，都可以在本文中找到。

說真的，無論在過去的雜誌、報紙，還是現在的臉書上，只要談到各種防詐技巧，都沒什麼人願意多讀一點。以下整理幾個跟帳號、密碼相關，常見的迷思及誤區。

1.駭客會破解我的密碼嗎？不會。

有這個疑問，可能是平常影集、電影帶給你的印象。其實，除非你的資產或職位能到達電影中那些人的等級，不然利用技術破解你一個人的密碼，對駭客來說太浪費。而你到達那等級時，會有人教你怎麼以其他手段保障自己。

大多數的狀況，其實是你透過各種管道，自己給出了帳號密碼。

很多人能記得的英文、數字，就是自己的名字英譯、英文名字，出生日期、身分證字號、車牌號碼、員工編號⋯⋯所以帳號密碼多由裡頭挑選組合，加了其他元素，就一定會忘記；甚至不加都會忘了組合。

很多年輕人幫長輩設定帳號密碼時，也用同樣的思維。所以這狀況很常見。你可能感覺很危險，但其實還好。因為要是不是身邊人、認識的朋友，也不會去嘗試破解帳號密碼。就算出了事，也很容易找到兇手。例如：前妻、前夫、前任、追求者、恐怖情人、跟騷者、要偷你存款的子孫⋯⋯等。

但真的很多人一生闖蕩網海，只用同一套帳號密碼，用在Gmail、iCloud、Facebook、Line這些絕對不能洩露的服務上，也用在不曉得哪兒來的購物網站、看色情圖片的論壇上。

前者可能用國防等級的資安防護；後者資安可能是不完善被破解，或者經營不善把全部客戶的帳號密碼賣了，就讓詐騙集團等取得你的帳號密碼，登入其他服務，暢行無阻。

你如果看到Gmail曾有來自印度或者世界其他角落的嘗試登入訊息，十之八九是這原因。

所以不要只用同一套帳號密碼。聽起來似乎不可能做到，但你至少可以：

因為使用相同帳密的狀況，實在太普遍，而且不是所有人都會因此改密碼，所以很久以前就在推行「二階段認證（Two-Factor Authentication）」，也就是在帳號密碼以外，加一份「只有你能輸入」的認證資訊。

例如：

如果你沒有處理第二（帳號密碼太簡單）、第三（使用相同帳密）的問題，那麼，這是你最後的個資防禦手段。

永遠不要把認證碼告訴別人！

現在詐騙集團會在與你通話時，要求你提供取得的認證碼，這樣等於你自己讓別人登入你的各種服務，把銀行戶頭裡的錢提光。

因為這幾項服務被別人登入，照樣全部能登入。而且這些登入機制三不五時出問題，只求方便，不能依賴。

誰都記不起來，連你自己也不記得的密碼。很蠢，對吧？但Apple希望你這麼做。例如Apple的Safari瀏覽器，在你新創帳號或者修改密碼時，會推薦你使用「複雜密碼」。像這樣：

kikryc-6renwy-dibDez

很難記對吧，確實也沒有要你記下來，Apple會幫你記。你要登入時，透過TouchID或FaceID認證指紋與臉孔，就會幫你自動輸入。然後密碼會透過雲端，與你的iPad、Mac等同步。現在各家銀行的行動App可以用指紋與刷臉登入，也是相同的機制。

如果你是忠貞果粉如我，這就是天大的福利。但你如果用了Windows或Android，就需要購買其他類似的服務，像是OnePassword來跨平台同步。

用指紋或刷臉來輸入密碼，你自己完全不用記，是不是感覺很多此一舉？

所以這一兩年各大公司推動的Passkey，就是一個整合機制。你甚至不需要設定密碼，系統產生一個夠強不會被破的密碼存在機器裡，透過指紋與臉孔確認是本人，才會送出登入。

目前Google、Apple、任天堂、Amazon都已經有支援。但是你可能會換其他系統，或遇到手機被砸爛等意外，所以使用這服務時，都會給你「備用密碼」，請務必要印出來或抄在筆記本上，至少截圖存在其他地方，以備不時之需。

真的建議花1秒鐘抄下來，不然出事要取回密碼會花更多的時間。什麼？，你怕你的iPhone被破解？請回到第一題 ——破解這些裝置，是真的很麻煩的啦。

其實把二階段認證做好，就能明顯保障你的帳號密碼了。如果真的想要擺脫密碼，能有意識的轉換到3或者4，就能擺脫密碼（以及只用一套帳號密碼的黑歷史）。

若你被挾持，帳號密碼已經不是問題了。請想辦法脫身報警。

但如果你的朋友不保護好帳號密碼，Line或Facebook被盜用和你借錢，是你被騙。或者以其他方式接近你，要你投資，這是偽裝身份的「社交工程」，這才是詐騙的主要手法。

抱持「不緊張、不相信、不匯款」的態度，才能防止被詐騙。

＊本文獲「Bobby Tung 董福興」授權轉載，臉書原文

責任編輯：陳柏燕
核稿編輯：湯明潔