問:現時不論黑客又好、當局也好,都會試圖以暴力或其他手段,去破解異見人士的帳戶密碼。除了利用一些隨機產生密碼的工具外,還有甚麼方法去檢查自己的密碼是否安全,而且又免費和好用?
李建軍:澳大利亞有一位保安專家,搜集了全球曾經外洩的密碼,再加上對密碼暴力破解的模擬算式,建立了一個系統,只要輸入你在用的密碼,就可以知道你現時沿用的密碼,會否曾經出現在一些外洩的密碼資料庫上,以及以現時的科技,需要多少運算時間才能破解密碼。這集翻牆問答,我準備了視頻,示範如何用這個網站,去驗證你自己的密碼是否安全,歡迎各位聽眾瀏覽本台網站,收看有關視頻。
如果你的密碼曾經出現在一些外洩密碼的資料庫,有可能你的密碼太普通,或你的密碼曾經在其他的資料庫外洩,你自己卻懵然不知。如果出現這種情況,我建議還是更改密碼至一些資料庫上未有出現的密碼,以及黑客根據外洩密碼資料庫來試圖猜測你的帳戶密碼,那你就會蒙受重大損失。
雖然有不少密碼,可能需要十多萬年,或幾千年來破解,但是以一般的電腦而論,如果你的密碼強度只要幾年就能破解,我個人建議還是改一個比較強的電腦密碼為妙,因為當局可能採取超級電腦來進行暴力破解,以現時中國當局擁有不少TOP500的五百強超級電腦。這些超級電腦不見得在為科研服務的情況下,最好假設當中有不少由中國當局擁有的電腦,根本是用以暴力撞破密碼。很可能用幾年才能破解的密碼,用中國當局的電腦只要數天時間就能撞破。所以密碼的強度,最好要耗用的破解時間,用十年,或百年時間來破解。
這個系統亦有一些對密碼的保安建議,如果出現這種情況,你都可以酌量參考,修改沿用的密碼,提高黑客成功入侵你帳戶的難度。
問:如果我要用一些免費密碼產生器以制訂密碼,在設定上又要留意些甚麼,才能提高密碼的保安水平,不容易為黑客或當局派出的人員以暴力方式破解?
李建軍:首先,字母愈長愈好,當然亦要考慮你能否記到這些密碼,太長的密碼若忘記了就要重設密碼,很多時都費時失事。英文字母、數字或符號在8個以上組合的密碼,基本上已經相當足夠,而現時一般密碼產生器,都會產生10個至12個英文字母、符號或數字組合而成的密碼,可說已十分夠用,而人記憶起來,亦不會太難。因為機器隨機產生的密碼,對人類而言並無甚麼意思,人類很容易記錯一些並沒有特別意思的字元組合,人類一般會比較容易靠聯想來將密碼牢記,這也是不少人會忘記一些太久沒用的密碼的原因,也解釋為何有些人,會抗拒使用隨機產生的密碼,縱使有關網站或軟件很多時都是免費。
在你用免費密碼產生器去制訂密碼,在產生後都應透過剛才提及的網站作出檢查,因為你產生的密碼,有可能剛才與曾經外洩過的密碼一樣。這類倒霉的事情,有可能發生的,畢竟別人都可能用密碼產生器來制訂密碼,必須確保自己的資訊安全。因此,重複檢查自己新產生密碼是安全度的一步,雖然是一個很簡單的程序,但仍然要做,不能夠因程序簡單而忽略。