密码可能是记者面对骇客入侵的最后一道防线。技术专家Ben Finn在本文中说明记者应如何升级密码、强化数位安全规划,而非任其成为安全隐忧。
密码通常是保护记者机密与重要资讯的唯一一道防线,但骇客可轻易地使用常见密码清单,以每秒尝试一万至十亿组密码的速度执行暴力攻击。因此,记者应永远使用各网站或帐号专属的独特强式密码,以确保自己与消息来源的安全。
- 使用词组密码而非单字密码。即使您在单字密码中加入特殊字元与数字,三到四个字构成的词组密码仍较多数单字密码更为安全。
- 使用密码管理程式。 1password、bitwarden与KeePass等服务可让您储存多组复杂密码,而无须自行默记或写下这些密码。
- 开启多重要素验证。在情况许可时使用多重要素验证,此功能需要二道以上的安全性检查程序 – 如传送至手机的独特代码等 – 以保障您的帐号安全。
- 绝不使用规律性密码。说明其目的或使用常见词语的密码易于破解。例如,「123456」或「password」等前十组最为常见的密码往往列在可公开取得的清单中,因此最容易遭到破解。
- 不使用重复的使用者名称与密码。使用多组使用者名称和密码可让骇客更难以辨识相连帐号。如有密码管理程式,则您便无须使用重复的密码。
- 不在密码中使用可识别身份的资讯。密码应与可公开取得的任何个人生活资讯无关。众所周知,在猜测特定个人的密码时,骇客会尝试使用个人资讯,并可直接将这项资讯加入其密码字典、尝试上千种组合。例如,网站或许会告诉您「Mark&Jane1982」这种密码安全无虞,但此类密码在数秒内就可能遭到破解。
- 混淆处理密码。密码自动检查程式通常会将以数字或符号取代字母(如将「officepassword」改为「0ff!c3_p4$$w0rd」)的密码评为「强」,但这种密码可轻易在基本的密码字典中找到。混淆处理本身虽非解决方法,但在搭配一般密码字典不会收录的随机词组密码使用时却可发挥重要作用。
- 检查自己是否遇骇。 Have I Been Pwned等网站可让您确认自己的电子邮件或电话是否曾遭到入侵,或者个人资料是否失窃转存。如发生以上情况,请立即变更密码。
- 确认自己密码的安全强度。您可使用这项工具测试新密码,并算出一般骇客需花费多久时间才能破解。建议您不要使用自己的真正密码测试,以进一步确保安全;但您可用其测试类似密码。
作者Benjamin Finn来自美国休斯顿,在 IT 领域已有十年资历。这段期间其主要工作为替大型企业部署内部资安工具。过去两年来,他在缅甸研究如何于专制民族国家维持合适的资安水准。他并和台湾的多个团体合作,为其进行确切落实资安和安全措施的训练。