定期更改密碼的迷信
阿恆
你的公司、網絡服務商、電郵系統、網上銀行等等,總會提醒你定期更改密碼,例如每三個月或者半年,有的甚至要求用戶最近幾次的密碼不能相同,其實這個方法是基於一些錯誤的假設、對入侵技術的無知 (不要以為系統管理員都是專家,哈),不論從運作上還是技術上來說,這不單不能保障你的帳號,反而使你的帳號更容易被入侵。
寫在便條紙上的密碼
誰能記住每三個月改變一次的密碼?若果要記住很多密碼,這些密碼又要每幾個月更改一次,每次都要全新的,怎樣創作這麼多高安全性又易記的密碼?很多人索性把密碼寫在紙條上,這張紙條收藏在錢包或者抽屜裏,這些地方有多安全大家都很清楚。
使用簡單易記的密碼
有些用戶會在密碼末端加上一個序號,每次只是把序號遞增,例如密碼是 myPass01,三個月後改為 myPass02,如此類推,這樣完全失去了定期更改密碼的原意。
循環使用密碼
有些人會創作三、四個密碼,然後在系統間循環使用,這些密碼一般在設計上保安性不錯,用戶努力記著這幾個密碼,不記錄在任何地方,每次改動密碼便循環使用。其實這樣跟使用固定密碼沒有甚麼分別,至少從破解密碼的技術層面來說,這種做法根本沒有提高安全程度。
系統管理員開脫責任
透過強逼用戶定期更改密碼、最近幾次的密碼不能重複等等,系統管理員以為系統的安全性便得以提高,但基於以上的原因,真正的效果是適得其反,系統的安全性反而比以前更差。為何很多系統管理員仍然這樣做?
最常見的原因是實施這些措施後,日後即使系統被入侵他們也不用付上太大的責任,因為他們已經做了一些預防措施,既然世上沒有萬物一失的保險箱,系統被入侵原是不能完全避免的,他們只要擺擺姿態做了預防措施便算盡了責。
另一個常見的原因是他們根本不知道這些措施的設計原意,與及用戶的可能應對方法。事實上他們也懶得去了解,因為實施這些措施可能只需要按幾下滑鼠,完全無需了解背後的原理。
黑客的最怕
你應該猜到我一定會這樣說,黑客根本不怕你定期更便密碼。若果你的密碼是利用身邊的人、物、興趣等等來設定的話,你的密碼根本就形同虛設。若果你的密碼很難猜,但卻會寫在紙條上,也等同虛設。若果你的密碼是隨機的字串,但每次更改都只是把序號遞增,你的情況好得多,安全程度視乎你的密碼有多麼隨機,但在黑客眼中,你其實只有一個固定不變的密碼。若果你有幾個循環使用的密碼,每一個都有不錯的複雜性,很好,你有幾個固定不變的密碼,黑客的困難程度增加了幾倍,但區區這幾倍並不礙事。
這些都不是黑客最怕的,他們最怕的是複雜的密碼,越複雜越怕,他們寧可攻擊 100 個長度是 8 的密碼,也不想攻擊一個長度是 9 的密碼;他們寧可攻擊 1000 個只包含小寫字母的密碼,也不願意攻擊一個同等長度,但包含大小寫字母、數字和標點符號的密碼。
所以,一個足夠複雜的密碼便足以阻擋黑客的攻擊,何須大費周章幹多餘的事?
給系統管理員的忠告
請不要再要求用戶定期更改密碼,那是毫無益處的,用戶總有應對的方法,最後系統的安全性不增反減。你真的重視系統的安全、重視用戶的保障,倒不如要求他們設定一個足夠複雜的密碼,例如最少 20 個字符,其中包含最少一個數字或類似的方案,然後叮囑用戶好好牢記這個密碼,以後不要更改。