如何設定可靠又不會忘記的密碼

今時今日網絡世代,密碼是每個人注定必須要有,而每個人都必定討厭的東西。它是一個永遠傍隨著你的計時炸彈。有時會跑出來阻礙你進行工作:他不讓你登入網站,或者把你的賬號鎖住,甚至要你回答那些你根本不知道的私人答案(如果你嘗試過重設 AppleID 密碼的話,就會明白了)。更甚者,一不小心你的密碼可以將你的一切私人資料赤裸裸地展現在不懷好意的入侵者面前。

市面上有很多關於設定密碼的原則, 但說白了不外乎就是以下四點:

  1. 不同網站用不同密碼
  2. 使用沒有意義的文字和符號組合
  3. 要有足夠的長度
  4. 定期更改

問題是,一個能夠符合以上幾點的密碼,根本就不是一個人能夠記得住的密碼。想想看,你會花時間去記住 @mQQ]?q$9V!/2=4# 這個東西嗎?別說記住了,就是印出來在鍵盤上敲一次都不能保證不會出錯。還有,大部分的密碼輸入框是用星星號顯示的。

於是有人提出用密碼管理器 (password manager) 來記住密碼。密碼管理器就是一個自行安裝的軟件,讓用戶把每個網站的用戶名和密碼都記錄在這個軟件中,需要的時候打開軟件可以找回密碼。

但是使用密碼管理器有很多壞處,包括:

  1. 密碼管理器也是把密碼記錄在文件中,萬一文件被hack就完了。而且很多病毒也會刻意尋找中毒電腦的密碼管理器文件。
  2. 當你在使用其他人的電腦時(如旅行,在別人家中,在學校等),那麼你便無法找回密碼
  3. 密碼管理器很多時都需要你設定一個管理員密碼(很諷刺啊!)如果你忘記密碼,或者你的管理員密碼被hack,那麼又返回原來的密碼管理問題了。

其實要安全地管理密碼,我自己是有一點經驗的。有一個方法讓我很多年來都沒有按過任何“忘記密碼”的按鈕。而我相信這個方法也適合於大部分的人。方法很簡單,不需要任何軟件或紙筆記錄之類,只要使用一個少少的心算。

簡單來說,這個方法就是用一個心算公式,將網站特徵和密碼聯繫起來,那麼每次你看到網站就自然知道密碼,而且是一個只有你才知道的密碼。(除非你很醒目地把自己的公式告訴別人)。

用一個心算公式,將網站特徵和密碼聯繫起來,那麼每次你看到網站就自然知道密碼,而且是一個只有你才知道的密碼。(除非你很醒目地把自己的公式告訴別人)。

我先舉一個例子,例如要設定在 facebook 的密碼,然後設定公式如下:

  1. 首先用網站名稱“facebook”作為特徵,取第一個字母大寫,於是得到 “F”
  2. 然後去網站名稱的第二個字母小寫和最後一個字母小寫, 得到“ak”
  3. 使用一個我最有印象的名字縮寫,例如我在瑪麗醫院出生,於是取 “hkQmh” , 即 Hong Kong Queen Mary Hospital 簡寫,其中Q刻意用大寫字母。
  4. 選一個最有印象的數字,例如我是 1991年9月開始入讀中學,於是取 “!((!09”, 其中 “!((!” 是按着 SHIFT 鍵敲出的 1991 。
  5. 然後將上述四個字段按自己喜歡的順序合併起來,例如 1 + 3 + 4 + 2, 變成 “FhkQmh!((!09ak” 這個就是 facebook 的密碼了。
  6. 運用同樣的公式套用到其他網站,如 Youtube 的密碼就是 “YhkQmh!((!09oe”, hotmail 的密碼是 “HhkQmh!((!09ol”, e-bay 的密碼是 “EhkQmh!((!09by” 等等. 你會發現,現在每一個網站都有不同的密碼,而這些密碼都只有你才知道如何組成。
其中一個公式的示例

上面只是一個例子,你可以修改上面每一個步驟,來生成自己的公式。例如在第1 步和第 2步你可以使用網站名稱的第二,三,四個字母,或者將這些字母用倒序方式排列,等等。

此外,我們需要留意,安全的密碼必須定期更改。關於定期更改密碼,我個人比較喜歡將第4部分的年份依次增加最多兩次,如 1991 改為 1992,再之後改為 1993, 再之後改回 1991,那麼如果我到時使用1991 不能登入的話,可以試1992, 再不行就試1993,最多三次就可以登入了。當然,最多增加多少次才從新計數,是因個人喜好而定。

這個方法在開始時,確實比較腦力去計算密碼,但是一旦習慣了之後(尤其其實步驟3 和4 是比較固定的),基本上就可以看到網站就能敲出密碼,有點像劍客那種“ 不滯於物,草木竹石均可為劍”的境界。

需要提醒一點,這個方法有一個致命點就是假如你的多個網站的密碼原文被同一個hacker讀取了,那麼這個hacker就可以很容易透過觀察破解到你的公式,繼而猜出你在其他網站的密碼。但是相比起所有網站使用相同密碼,或者使用如 “abc123” 這類懶人密碼,其實hacker要取得你多個網站的密碼來觀察,還是十分困難的。而且負責熱任的網站基本上都會把原始密碼加密了,所以hacker要看到你多個網站的密碼原文是不太可能的。

另外,如果想要進一步加強保安,你可以設定另外一組公式,用來給比較重要的賬戶使用,例如銀行賬號,電郵賬號等。那麼對於一般網站,你可以用組合公式一,對於重要賬戶,可以使用組合公式二,那就更加安全了。而且即使某天忘記了密碼,最多也不過是嘗試6次而已,最終必定可以成功配對到正確密碼的。

使用這個方法生成的密碼,不僅使用者自己能夠輕鬆記住,而且又符合安全密碼的4個要求,大家不妨設計自己的公式,試試看。

最後說明一點,這個方法設定的密碼並不是100%絕對安全的。任何密碼都有破解的可能,關鍵只在於破解所需的功夫和時間。這篇文章是分享一下密碼設定的經驗而已。你的密碼安全性高不高,是在於你有多重視密碼的保護,密碼生成的方法只是其一而已。