【翻墙问答】利用随机产生密码 须重复检查保资讯安全

2018-03-02
电邮
评论
Share
打印

如何检测密码安全?

问:现时不论黑客又好、当局也好,都会试图以暴力或其他手段,去破解异见人士的帐户密码。除了利用一些随机产生密码的工具外,还有甚么方法去检查自己的密码是否安全,而且又免费和好用?

李建军:澳大利亚有一位保安专家,搜集了全球曾经外泄的密码,再加上对密码暴力破解的模拟算式,建立了一个系统,只要输入你在用的密码,就可以知道你现时沿用的密码,会否曾经出现在一些外泄的密码资料库上,以及以现时的科技,需要多少运算时间才能破解密码。这集翻墙问答,我准备了视频,示范如何用这个网站,去验证你自己的密码是否安全,欢迎各位听众浏览本台网站,收看有关视频。

如果你的密码曾经出现在一些外泄密码的资料库,有可能你的密码太普通,或你的密码曾经在其他的资料库外泄,你自己却懵然不知。如果出现这种情况,我建议还是更改密码至一些资料库上未有出现的密码,以及黑客根据外泄密码资料库来试图猜测你的帐户密码,那你就会蒙受重大损失。

虽然有不少密码,可能需要十多万年,或几千年来破解,但是以一般的电脑而论,如果你的密码强度只要几年就能破解,我个人建议还是改一个比较强的电脑密码为妙,因为当局可能采取超级电脑来进行暴力破解,以现时中国当局拥有不少TOP500的五百强超级电脑。这些超级电脑不见得在为科研服务的情况下,最好假设当中有不少由中国当局拥有的电脑,根本是用以暴力撞破密码。很可能用几年才能破解的密码,用中国当局的电脑只要数天时间就能撞破。所以密码的强度,最好要耗用的破解时间,用十年,或百年时间来破解。

这个系统亦有一些对密码的保安建议,如果出现这种情况,你都可以酌量参考,修改沿用的密码,提高黑客成功入侵你帐户的难度。

问:如果我要用一些免费密码产生器以制订密码,在设定上又要留意些甚么,才能提高密码的保安水平,不容易为黑客或当局派出的人员以暴力方式破解?

李建军:首先,字母愈长愈好,当然亦要考虑你能否记到这些密码,太长的密码若忘记了就要重设密码,很多时都费时失事。英文字母、数字或符号在8个以上组合的密码,基本上已经相当足够,而现时一般密码产生器,都会产生10个至12个英文字母、符号或数字组合而成的密码,可说已十分够用,而人记忆起来,亦不会太难。因为机器随机产生的密码,对人类而言并无甚么意思,人类很容易记错一些并没有特别意思的字元组合,人类一般会比较容易靠联想来将密码牢记,这也是不少人会忘记一些太久没用的密码的原因,也解释为何有些人,会抗拒使用随机产生的密码,纵使有关网站或软件很多时都是免费。

在你用免费密码产生器去制订密码,在产生后都应透过刚才提及的网站作出检查,因为你产生的密码,有可能刚才与曾经外泄过的密码一样。这类倒霉的事情,有可能发生的,毕竟别人都可能用密码产生器来制订密码,必须确保自己的资讯安全。因此,重复检查自己新产生密码是安全度的一步,虽然是一个很简单的程序,但仍然要做,不能够因程序简单而忽略。

完整网站