前一篇提到了「弱密碼」，容易被暴力破解，到底什麼是弱密碼？

對於一般民眾來說，現在使用的網站服務越來越多，密碼也越來越多，但密碼設定這件事，很多人就不夠重視。

例如，有很常見的問題就是，為了方便記憶
1.在多個雲端帳戶使用了相同的帳號與密碼。 這等於帳密只要外洩一次，其他服務也能被登入的可能性。（像是雙因素認證的出現，就是避免帳號外洩的多一層保護）

2.使用了弱密碼，因此容易被現在的自動化工具暴力破解或直接猜出。 有那些是弱密碼呢？我簡單分為幾類
（一）使用自己的個人資訊。就如上篇所提，你想的到，別人也想的到 。你會用自己電話、生日，或是身分證字號等，別人取得已經外洩的資料，就可以猜到你有可能用這些作為密碼。要認識這樣的風險。

（二）使用太簡單的密碼。大部分人都會舉例像是123456、12345678，但我覺得不止，還有像是鍵盤排列的qwerty，密碼的英文單子password等，甚至簡單變化的p@ssw0rd，password123、1234qwer、1qaz2wsx都是弱密碼，但我覺得最重要的關鍵，就邏輯來看，其實就是最常被人使用的密碼就是弱密碼。

有興趣的人，可已看看SplashData的報告，他們是密碼管理程式供應商，他們近年每年公布年度最常見的密碼，或是另一間Dashlane也有揭露一些使用糟糕密碼的清單與事件

（圖片擷取自SplashData）

（圖片擷取自Dashlane）

以下是Wiki對於弱密碼的說明

弱密碼是易於猜測的密碼，主要有以下幾種：
1.順序或重複的字符：「12345678」、「111111」、「abcdefg」、「asdf」、「qwer」鍵盤上的相鄰字母；
2.使用數字或符號的僅外觀類似替換，例如使用數字「1」、「0」替換英文字母「i」、「O」，字符「@」替換字母「a」等；
3.登錄名的一部分：密碼為登錄名的一部分或完全和登錄名相同；
常用的單詞：如自己和熟人的名字及其縮寫，常用的單詞及其縮寫，寵物的名字等；
4.常用數字：比如自己或熟人的生日、證件編號等，以及這些數字與名字、稱號等字母的簡單組合。

當然，更廣來說，容易被暴力破解的，基本上就是越短的密碼，越容易被破解 。大家可以想想，20多年前或更少，許多網路服務就有帳密登入，驗證身分，當時可能是要求輸入6-8，但，那是那個時代，當時的電腦效能有多強？20年後，現在的電腦效能又是多強？有了這樣的認識，對於風險應該也能有些想像。現在，一些服務都已經可以輸入18碼，但還會提供雙因素驗證等機制來保障。更何況未來還有量子電腦再發展

（三）另外是預設密碼的問題， 不過這邊多指一些系統設備的管理介面。（民眾使用的網路服務，應該很少有預設密碼吧？但也有是首次給你一個預設，再提醒要你變更）像是無線網路的管理介面，IP監控攝影機的管理介面，很多使用者沒有變更，而設備的說明書在網路上查都有，等於網路犯罪者入侵後，直接就能猜到可能沒有改密碼，取得設備控制權限。

P.s.至於如何設定比較安全的密碼，其實可以聊很多，這裡先簡單說。

以現在的密碼設定建議方向來看，越長越好，但如何記憶可能是用戶挑戰，不少是提倡三組字串結合，像我可能用「一個熟悉的密碼字串」＋「較特殊的鍵盤排列」＋「非三等親的朋友電話號碼」，然後還可以加上尾碼的概念（像是身分證字號最末碼）。（但還是要想，規則用多了，是否就變得有跡可尋）

最近也聽過有建議，是使用三組電話號碼連在一起。

另外最近看到教育部 在最近也提供了相關資源，可以參考。基本概念是有一些，但我覺得還算是有許多變化要注意，像是p@ssw0rd被使用了後，其實也會變成弱密碼，像是現實狀況就是密碼外洩嚴重，還有密碼記憶管理的面向，但自己可從邏輯上去思考，認識這些風險。（以下取自教育部）

全民資安總動員　教育部懶人包教你設定安全又好記的密碼

另外，像是許多網站服務也會有說明，像是Google現在的建議：1.請勿重複使用密碼。2.使用較長且較容易記住的密碼。3.避免使用個人資訊和常見字詞。

此外，有些也是會建議業者提供的密碼管理器，也是一個可行的方法，但你也可能會想他們的安全又是怎樣，這也是認識風險。

另外，對於一般民眾而言，或許也發現瀏覽器業者也在協助改進使用者的密碼設定，例如，現在Chrome會幫你再註冊帳戶時，自動給你一組亂數產生並是很長的密碼，然後再透過瀏覽器內建的技術保護。

（大致上，Chrome 69版後，當Chrome偵測到密碼欄位，就會出現建議高強度密碼的選項。像是我在Yahoo註冊頁面上點到密碼欄位，就會跳出。）

其實，這幾年瀏覽器本身對密碼的保護是有改變與提升的，只是，沒有長期關注有點難說清楚，像是過去瀏覽器提供「記憶密碼」的功能，但記憶的密碼有無妥善保護？，後來，記得瀏覽器業者隔了許久有提出改善作法，像是Chrome好像要系統存取權才能檢視密碼，但各瀏覽器的作法與進度，真的要持續關注才搞得清。有興趣的人，可以多瞭解現在又提升到什麼程度，但這樣的持續改進，也可以知道這沒有絕對的安全。自己還是要多注意。

有點覺得這篇該拆成很多篇來談，後面還可以聊像是密碼外洩事件、Firefox Monitor，以及Google Password Checkup。想想怎麼拆