遵守“2重点” 这样设密码最安全！

密码长度非常重要

网络安全公司Alert Logic的技术总监Richard Cassidy曾建议，密码最好有14个字元，因为骇客得尝试811兆次才能破解。他认为，密码长度比複杂程度来得重要。
句子越长，难度越高，骇客可能会先放弃，寻找更容易下手的受害者。若记忆力惊人，能够记得“iloveapplejuice”、“watermelonismyfavorite”、“billieieanisnotmylover”等密码，那就非常好。最差的密码是可以在字典找到的单词，举例像“admin”、“loginpassword”、“computer”等词彙。“如果骇客‘字典’有四百多万组密码，只需20秒就全数扫描完毕。如果是单词密码不到一秒就解开了。”冯宗福说，经过多年累积，他们也组建了自己的“字典”，甚至收纳其他国家语言的密码，如意大利、德国等，因为各别国家用户都有特定词组模式的密码。

他透露，一些系统是可以支援中文密码，但大部分人没有用。“其实中文密码更难骇。”然而，有些系统有些弱点，不接受Unicode编码，即英文以外的字元，如中文、韩文、日文等。用户不妨用拼音去对应自己的密码。比方“管理员”变成“guan1li7yuan3”。配合上述所提及的“八字真言”，再改造成“Gu@N！Li7￥uAN3”。

 
那么用表情包（emoji）取代密码是否可行？这并非天方夜谭，英国的银行软件开发公司Intelligent Environments在2015年曾倡议，开发emoji密码系统，利用44个emoji表情可以组成349万8308个组合。对于冯宗福而言，他认为emoji符号背后的Unicode没有标准化，在不同的平台，同样的符号会显示不同的Unicode。“在WhatsApp可能是这组Unicode，但是在Viber或微信是不同的。”

你是机器人吗？

登入网站时，偶尔会出现人机验证（captcha），这是一种安全验证机制，以证明本身是人而非尝试入侵的电脑程式。对于captcha机制，他解释，若骇客掌握了受害者的用户名称（username），但没有密码。骇客会设计一个程式，不断将连串数字和字母去测试密码。

 
“如果网站没有captcha机制，骇客就可以一直测试，直至找到正确密码就能登入了。有些机制是会限定3次或5次尝试。这些captcha就是为了防备这些攻击，例如选图片或输入字母。”如果是金融业务网站则会限制尝试次数，一旦超过就必须亲自去银行或提款机重设密码。另一些则是输入密码失败之后，系统就会冷冻账号一段时间。冻结时间可能长达15分钟或一小时不等，直至用户输入正确密码为止，这也是减缓被骇的速度。

管理密码的方法：
01. 避免在几个平台使用同样的密码。
02. 重新设定密码时，避免重複设定已用过的密码。
03. 至少每3个月更换一次密码。
04. 避免使用字典里的英文单词。若使用，将特定英文字母改成数字或符号。
05. 设定密码时，不要放自己的名字、生日、手机号码、职员证号码等资料。
06. 不要在公司办公桌、群组、网页或电邮公开张贴用户名称和密码。
07. 如果担心忘记密码，抄录在一本簿子，然后严密保管。
08. 不要点击任何陌生电邮发送的链接。
09. 不要发送密码给任何人。
10. 启用双因素认证，保护自己的账号。
11. 小心设定“安全问题”和答案，不要轻易让人猜到。

后记：无论在什么情况下，我们有责任保护自己的个人资料。在社交媒体减少曝露自己的隐私资料，在网上填写任何表格时，仔细阅读用户条款，确保个人资料不会被滥用。认真看待设定密码这件事，就能降低被骇的风险。对骇客而言，没有破解不到的密码，只是时间而已。