使用者名稱不知道取什麼才安全嗎？這產生器可以幫你隨機生成

零基資安訓練營（十三）：如何知道帳號的密碼有沒有外洩？

文：薯伯伯

有朋友說他用 Google 帳號，但戶口還是被盜了，然後嘆道：「不是說 Google 的保安很高嗎，為何仍然被入侵？」其實不一定是 Google 的問題，而是其他網站被入侵。

舉個例子，你在所有網站都使用類似或甚至一式一樣的密碼，Gmail 的密碼是 Abcde$12345，Facebook 的登入也是 Abcde$12345，而 LinkedIn 的密碼也是 Abcde$12345。那麼只要其中一個網站出事，你的密碼便會洩漏。

在 2012 年，650 萬個 LinkedIn 帳號密碼被盜，雖然事隔多年，但估計仍然有不少人用同密碼。縱然 Google 及 Facebook 在維護保安的情況（可能）較高，但 LinkedIn 卻拖了後腳，成了所謂的「罩門」，即身上的死穴。

我們可以用這個方法查詢自己的登入有沒有曾被入侵，這個網站是由 Mozilla 基金會（Firefox）設置，使用 1Password 提供的資料庫，算是比較可靠的背景。特別要這樣說的原因，是如果有些網站聲稱可以幫你查證帳戶有否被入侵，必須要極為小心，不要隨便輸入電郵。

Mozilla 基金會（Firefox）設立的 Firefox Monitor：

http://monitor.firefox.com/

進入網址後，輸入自己的電郵地址，
不用選擇 Stay safe 一欄，
按「Check for Breaches」。

稍等一會，便能看到結果，結果只會顯示曾用該電郵地址登錄過的網站，而不會顯示你的密碼。

你用同一電郵地址登記過的網站，有多少個戶口曾經入侵？

那麼如何修補這個漏洞？

一，啟用二步認證。
二，使用密碼管理器。
三，使用一個非公開的電郵地址做網站的登記。

以上步驟所花時間，有長有短，但以「二步認證」的效益最高，所以必須為主要的戶口先設置二步認證。之後學習使用密碼管理器，以及重設所有網站的密碼。這個過程就相對考人耐性，我有一位很堅忍的朋友，花了兩天時間，修改了 95 個網站的登入資料。最好是把新註冊（及舊有註冊）的網站帳號，改用一個全新並且非公開的電郵地址，密碼不用自己思前想後了，乾脆用管理器隨機生成一個便可以。

🟡 Patreon | 請支持獨立不受干預的寫作及評論。

www.patreon.com/pazu

【什麼！原來怪密碼也沒有比較安全！】

美國資安公司 FleetSmith 發表一篇文章指出一些大家對於 #密碼安全 的迷思：

原來 p@ssw0rd 也不會比 password 安全！
重點原來只是在長度！長度！長度！📏

原文連結：https://blog.fleetsmith.com/password-security-guide/

文章太長不想看嗎，來！這裡幫你整理好精簡的 #密碼安全指南！

🔒 密碼長度應該設多長？
至少10字元，但越多越好，密碼的強度取決於他的長度。

🔒 需要使用特殊字元來加強密碼強度嗎？
不用！

🔒 密碼需要使用到數字嗎？
不用！

🔒 需要一直換英文和數字嗎？
其實....這一點用都沒有！

🔒 需要多久更換一次密碼？
只需要在你覺得可能有風險的情況下更換密碼，切記不要任意更換密碼，這樣反而會降低安全性。

🔒 在不同平台上可以使用一樣的密碼嗎？
千萬不要，請為所有帳號設定一組獨一無二的密碼，以確保其中一組遭到盜用時，不必更換所有密碼。

🔒 我該如何記得所有密碼？
嘿！你不用真的記得所有密碼，你可以使用密碼管理器，不想要的話也可以寫下來。如果需要設定一個夠長又不容易忘記的密碼，可以使用diceware(隨機生成器)，但記得！千萬不要使用重複的密碼！

🔒 關於雙重驗證
如果可以的話，請開啟雙重認證，記得用強度最高的雙重認證，最強的硬體驗證機制，再來是驗證應用程式，最後才是簡訊驗證。如果可以的話，最好不要向平台提供你的電話號碼。

🔒 關於復原密碼問題
記得不要乖乖的誠實回答上面的問題，最安全的方式就是替每一個問題設定一組隨機的輔助性密碼吧！再將它們通通存進你的密碼管理器中！

你的 #密碼 夠安全了嗎？照著我們的密碼安全指南一起檢查吧！#分享給家中長輩 #全民資安守護國安