【HITCON 台灣駭客週】- HITCON ENT Day 1

【資安週】密碼的危機與管理

還記得前陣子跟大家分享的【YAHOO拍賣詐騙】嗎？原來最常被盜帳號反而是網路的賣家，因為在問與答之間可能就會遇到莫名的連結，可能會問說「產品是不是類似這個？」，賣家就會因為求好心切的點去看看，其實此時已經連入詐騙的網頁（類似拍賣的假網址，而介面幾乎一模一樣），發現網頁怎麼要求重新登入，在沒有警覺心之下輸入了帳號與密碼，殊不知帳號與密碼就是在此時被竊取，我女友就曾經有活生生的【詐騙案例】，一但被騙走了帳號，所有的辛苦評價都有可能化為烏有，損失可以就大囉！

這時候會發現瀏覽器內建的記憶密功能其實頗不錯的，遇到正確的網址才會自動的輸入帳號與密碼，若遇到還需要帳號密碼時反而變成一種警惕作用，利用記憶密碼的功能也可以當作管理密碼的一種方式，不過就得預防有人用你的電腦有惡意的行為，記憶密碼的功能建議還是使用在私人的電腦上，安全還是很重要的！

那麼你有沒有想過該如何查詢這些被記憶的密碼呢？

• IE 需要透過IE passview這類工具，不過這種查詢密碼軟體容易被防毒軟體視為發法行為。
  
• Firefox 內建就有檢視密碼的功能。（工具->選項->安全->已存密碼）
  
• Chrome 也有內建的密碼顯示功能。（選項->個人化設定->顯示已儲存密碼）
  

其實這些被記錄的密碼還是以「明碼」的方式記錄在系統或是軟體之中，一些即時通軟體的密碼也可以透過【MessenPass】來顯示，也因此呼籲大家，若有習慣使用儲存密碼的習慣，就得特別注意電腦的安全，像是電腦送修時就得先清除密碼，避免有人惡意地竊取密碼，我更建議大家能【定時更換密碼】與【使用不同的密碼】，定時更換密碼可以降低帳號被盜用的可能性，而不同密碼可以預防被竊取更多的網站帳號。

每個網站都使用不同的密碼，這樣做其實是比較好的，不過大多的人會嫌麻煩，最怕就是忘記當初所設定的密碼，其實網路上有許多不錯的密碼管理工具，若要管理好自己的密碼，以下提供幾種選擇。

• KeePass 算是比較知名的一款密碼軟體，還有繁體語系可以使用。（KeePass官方網站）
  
• PINs 是一套比較久遠的密碼管理軟體，功能也算足夠！（PINs官方網站）
  
• Password Safe 的使用簡單，支援群組的分類設定。（Password Safe官方網站）
  
• LastPass 是一套非常棒的密碼管理軟體，密碼資訊儲存在網路上，可以在不同的電腦直接存取網站上的個人檔案，更不用擔心因為電腦掛點而資料損毀，也可以將密碼資訊輸出在電腦上。（LastPass官方網站）
  

網路上的帳號那麼多，曾經註冊過的你又記得多少？若是有習慣使用密碼管理軟體，其實也算是幫自己整理一份網路的帳號密碼資訊，建議大家也可以使用看看唷！之前我評測了【諾頓網路安全大師2011】，裡面也有身分安全的功能，也可以幫忙管理網路上的帳號密碼資訊，更包含信用卡資訊等等，算是防毒軟體附加的好功能。
 
最後我們來試試看自己的密碼到底安不安全？一個安全的密碼可能要包含大小寫英文、數字、特殊字元等～越複雜的密碼當然有較高的安全性，下面找了一個測試密碼強度的網站，這個網站設定了許多不同的密碼規則，每種規則都有計分方式，最後的加總判斷密碼強度，大家可以試試看自己的密碼得到多少分數唷！

PasswordMeter（密碼強度測試）：http://www.passwordmeter.com/

其實像我們從小學過注音符號，用一段文字的注音符號當作密碼其實也很不錯，基本上超過四個中文字的分數大概都有90分以上，而且記憶密碼也比較容易，但是一定得有注音符號的鍵盤才可以，不然一用手機上網可能就不知道該如何輸入了！

這篇介紹了網路釣魚、密碼查詢、密碼管理與密碼ˋ強度的相關資訊，希望大家能注重密碼的管理，去年我也寫了一篇【密碼？密碼？到底怎樣才安全？】，大家可以一起參考看看唷！

關於更多的安全議題，大家可以上【資安週官方網站】學習更多有關於資安的小常識，也可以加入【資安週粉絲團】，隨時得知最新的資訊唷！