開場白

許多人以為「多設幾組密碼」就能防駭，
但在今天這個每個服務都要註冊帳號的時代，
使用密碼太多反而會成為最大的風險來源！
今天 D29，我們要重新審視帳號安全的真正核心──
如何用更聰明的方式，讓密碼更少、卻更安全。

目標

• 了解密碼與帳號安全的常見誤區。
• 認識現代帳號保護三支柱：強密碼、密碼管理器、多重驗證 (MFA)。
• 建立自己的帳號安全策略清單。

一、密碼問題不是「被猜中」，而是「被重複用」

根據 Google 與 NordPass 的調查，
全球前十常見密碼依然是「123456」和「password」。
但更大的問題是——

同一組密碼被用在十個網站，只要一個被駭，其餘九個就失守。

這就是所謂的「憑證重用攻擊（Credential Stuffing）」。

二、密碼的現代標準

三、現代帳號防護三支柱

① 密碼管理器（Password Manager）

集中保存所有密碼並加密管理，
只需記一組「主密碼」，其餘自動填入。
常見選項：Bitwarden、1Password、KeePass、Google Password Manager。
好處：

• 避免重用；
• 自動產生強密碼；
• 支援跨裝置同步。

小提醒

密碼管理器不是風險集中，而是風險可控──
它有「加密保險箱」，你的記事本沒有。

② 多重驗證 (MFA)

除密碼外，再要求額外驗證，例如：

• App 驗證碼（Google Authenticator、Authy）
• 行動裝置通知（Microsoft Authenticator、Apple Login Prompt）
• 實體安全金鑰（如 YubiKey）

最佳實務：

• 優先為「郵件、雲端硬碟、金流平台」開啟 MFA。
• 不使用簡訊 SMS 作為主要驗證方式（容易被攔截）。

③ 密碼外的身份驗證新趨勢

• Passkey（無密碼登入）：利用指紋、人臉或 PIN 綁定裝置產生金鑰對。
• Single Sign-On (SSO)：統一授權登入，降低多帳號管理風險。
• 硬體金鑰 + 雙因子結合：企業級防護漸成主流。

小結

安全不在於記住幾十組密碼，
而在於建立一套你能長期維護的帳號管理策略。
強密碼＋密碼管理器＋多重驗證，
就是 2025 年最簡單卻最有效的資安三步驟。