密碼
現今社會的互聯網使用十分頻繁,而且網絡的應用涉及不少帳戶及登入,當中以密碼一項最為麻煩又必要。
筆者都面對這個難題,尤其是加密貨幣錢包帳戶的密碼,又要易記又要難估,好像天生的矛與盾一樣。
於是,筆者於網上搜集了一些關於密碼設定的資料,希望給大家分享,於設定密碼時有個參考。
暴力拆解
首先,密碼的作用是令密碼持有者以外的人難以破解,那麼,這些破解密碼的人是用什麼方法去破解他人的密碼呢?
破解密碼最簡單及直接的是brute force,中譯為「暴力拆解」,意思是嘗試及窮盡所有可能性。例如旅遊行李所用的密碼鎖,通常由3組數目字所組成,如果不記得一組號碼,只需要嘗試10次便可以打開;全部3組都忘記的話,嘗試1000 次便可以暴力解鎖。本站MPFDIY.com年中都受到有不少brute force 式的試圖登入:
暴力拆解所需時間有以下公式:
按上述的公式,分母愈大就愈快破解,所以電腦運算愈快的話,網上密碼就愈快被破解。以電腦發展著名的摩爾定律來說,每兩年的電晶體的數量增加一倍,見下圖。如果日後量子電腦成真,運算速度會更快。
相反,公式內的分子是協助密碼難以被破解。分子內有兩項參數,一是密碼的內容變化,一是密碼長度。
旅行鎖是由數目字所組成,內容變化只有10個,而當長度是3的話,就只有 10^3= 1000 種可能。如果大家的網絡密碼是8位長度,並且全是數字的話 (例如用出生年月日期或電話號碼),10^8 = 1億種可能,但以現時電腦速度,1秒內即可被破解。
如果在數目外加上細階英文字,就會有 (10+26) ^8 = 3.6 億種可能,如果再加上大階英文字與及特殊符號,就有近10億種可能。
除了增加字元變化,更佳的做法是增長密碼長度。以現時的電腦計算速度,要暴力破解長度為12的 “數字+大細階+符號”,需時3萬4千年,見下表:
所以長度是至關重要,筆者認為現時來說,使用長度為12以上的密碼是最好的考慮,所以加密貨幣錢包的seed phrase 都是至少用12位密碼。
大家可以用這網站看看自己的網上銀行密碼需時多久被破解。
如何設定密碼?
12個字咁鬼長,點樣設定?最簡單是胡亂設定,例如用網上的密碼生產機,見此 1 2 。
不過,亂設密碼的下場,往往是連自己都唔記得,又或者是寫低左俾所有執到紙仔的人知道。所以,筆者會用一些對自己有意義的字詞及數字,另加二次加密。
例如有位名為 Chan Tai Man 的人仕,出生日期為1989年6月4日,那麼,如何組成又易記又難估的密碼呢?
筆者的二次加密原理可以是這樣的,先用大階取姓名第一個字,成為:
CTM
接着加數目字1,成為:
CTM1
然後用細階取姓名內第二個字再加2字,如此類推:
CTM1haa2AIN3
因為是香港人,再加3粒星,成為:
CTM1haa2AIN3***
之後再加出生年份加1,月份減1,日子加1,成為:
CTM1haa2AIN3***19900505
當然亦可以加上其他特別的日子如721 或831 等等,加強對香港歷史的記憶,這樣便是對自己有意思的二次加密。
看看要暴力破解「CTM1haa2AIN3***19900505」所需時間 (運用這網站):
即19 x 1024年 (宇宙形成都只是14 x 109年之前)
當然,這些二次加密的法則可以自己自由創造,尤其不用自己姓名。
不同網站用不同密碼
不要所有ATM 卡用同一個密碼,同樣道理,網上密碼都最好要各有不同。
筆者想出一個最簡單的方法,就是加字頭或字尾,例如於Google 網站就使用:
GOCTM1haa2AIN3***19900505
宏利Manulife強積金
MLCTM1haa2AIN3***19900505
這樣,主密碼就可以一雞幾味地於不同網站使用,而各網站又可以有不同密碼。
當然,如何加字頭字尾又是可以大家自行二次加密創作。即使把二次加密創作的原則寫低,執到紙仔的人都唔知你寫乜。
公司枱頭簡單文書電腦或printer的password 就不用太複雜,除非有很多私人嘢或公司機密。
最後,筆者不建議用password manager 之類的一站式密碼管理工具,原因很簡單,密碼愈少人知愈好,鎖匙不會交給他人保管,尤其是涉及金錢及電郵的密碼。
大家如有其他方法去設定密碼,歡迎留言交流。
延伸閱讀
今次呢篇文章好有趣, 未睇晒都想留咗言先, 冇諗過會喺mpfdiy 見到此類資訊
同樣地係今時今日好重要, 但係經常因為怕麻煩而被忽視嘅嘢, 其實同香港MPF 現況好似 haha
其實有一樣令人唔想搞強積金嘅嘢,就係唔記得帳戶密碼。
而家興用3個唔相關嘅英文字組成密碼, 再用自己嘅方法將一啲字母轉為數字或符號或大細楷, 例如 h@ngk@ngeRwateRye11@W
可以呀,故事mode