🔒 為什麼我們還需要「密碼」?
因為大多數系統仍然需要一個「你才知道」的秘密來開門。即便現在有指紋、臉部辨識、硬體金鑰、甚至「無密碼」登入(passkeys),密碼仍是許多網站與服務的第一道門票:它便宜、部署簡單、相容性高,而且不用每個人都買裝置。
問題是:人類對「記憶」這種事普遍不擅長,所以才會誕生出一長串慣用、容易猜、能滿足規則又不難記的——也就是俗稱的「弱密碼」。這也是為什麼在真實世界裡,被竊取或重複使用的帳密,依然是資料外洩與入侵的主要肇因之一。
🪪 驗證機制入門:你每天都在證明「我是我」
日常登入其實是「多次小型海關」,常見分成三大類:
- 你知道什麼(Knowledge):密碼、PIN、圖形解鎖。優點是容易部署;缺點是人會忘、會重複用、會被釣魚。這就是本文主角會被「盯上」的原因。業界也一直提醒:不要再只依賴單一、短又常見的密碼。
- 你擁有什麼(Possession):一次性驗證碼(OTP)、簡訊/Email 驗證碼、行動裝置通知、硬體金鑰等。這些作為「第二把鑰匙」很常見;搭配密碼能大幅降低憑證被濫用的風險。
- 你是誰(Inherence):指紋、臉部、聲紋等。優點是便利;搭配 FIDO2/WebAuthn(也就是 passkeys) 更能抵抗釣魚。
小重點:
一般來說可以理解成:
- Something you know (你所知道的事):這是一個名詞詞組。例如密碼就是「一件你知道的事情」。
- Something you have (你所擁有的東西):例如手機或金鑰,這是「一件你擁有的東西」。
- Something you are (你本身具備的特徵):這最酷,指的就是「你這個人的一部分」(指紋、臉部)。
不是要你只用其中一種。密碼 + 第二因素(MFA)現在基本是常態,逐步導入 passkeys 更能把「密碼被偷」這個風險直接打掉一大塊。
🧨 弱密碼到底是什麼?有哪些典型特徵?
所謂「弱」,不是說它不好看,而是它太容易被猜中或機器快速試出來。常見特徵如下:
- 太短:短密碼組合太少,跑字典或暴力嘗試很快就收工。許多安全建議已不鼓勵 8 碼這種「歷史共業」。
- 缺乏不可預測性:只用小寫、或沒有大小寫/數字/符號混搭,就算不是最爛,也很可預測。
- 常見字串:例如
123456、password、qwerty、abc123,年年都進榜。NordPass 的年度報告一再證實這點。 - 個資入密碼:生日、姓名、寵物、球隊等,太容易被社交工程或公開資訊猜到。
- 可預測模式:
111111、121212、1q2w3e4r、或鍵盤「走位」序列。自以為巧妙的「Leet」替換(如P@ssw0rd)也早被破解工具「學會」。 - 曾出現在外洩名單:即使很長、看起來複雜,只要已在外洩資料庫出現,就是「已知解答」。
觀察趣聞:2025 年全球最常見前幾名依然是
123456、admin、12345678、password、Aa123455等——一整個防守給對手看。
🧨➡️💥 弱密碼為什麼真的會出事:攻擊者怎麼玩你
把攻擊者想成「考古學家」:他們不一定現場刻石板、而是先去垃圾場挖古董——外洩密碼清單。例如 2025 年知名的「RockYou2025」資料彙整,號稱收錄了數以十億計的明文密碼,還引發 API 及大型服務短期內暴增的憑證填充攻擊。你以為加了 @2025 或 ! 就很安全?抱歉,它很可能早在清單裡。
駭客入侵不用『攻』,而是用『登入』的。 根據 Verizon DBIR 調查,『憑證遭竊』始終是各類入侵事件的首位。不論是透過釣魚還是購買外洩帳密,利用現成憑證直接進入系統,已成為近年最穩定、最高效的攻擊手段。
結論很殘酷:與其把複雜度規則堆高,不如防止「已知爛密碼」與「重複使用」才是真功夫。
🕵️ 我手上的密碼是不是「弱」?這樣查最安全
1) 用 Have I Been Pwned – Pwned Passwords 檢查
這是全球最知名、由資安研究員 Troy Hunt 維運的公開服務。它提供隱私保護的密碼檢查與 API,讓你確認某個密碼是不是曾出現在外洩資料中(服務量級為每月數十億次查詢,由 Cloudflare 提供全球快取)。如果你的密碼「有紀錄」,不論多長多花俏,都視為弱密碼。
參考網址: https://haveibeenpwned.com/Passwords
2) 參考年度「最常見密碼」黑名單
NordPass 每年都會發布《Top 200 Most Common Passwords》,還做國家/世代分析。若你的密碼在榜內或結構相似(例如 Pass@123、Admin@123 這類假複雜),請立刻更換。
參考網址: https://nordpass.com/most-common-passwords-list/
3) 企業端:實作「弱密碼阻擋清單」
NIST SP 800‑63B 的最新建議是不要再強迫使用者「一定要有大小寫/數字/符號」這類組合規則,而是強制長度、阻擋常見或已外洩密碼,並支援長而自然的通關短語(passphrase)。更重要的是,不要定期強迫更換,除非有外洩跡象;因為頻繁更換只會養成「Password1→Password2→Password3」的壞習慣。
參考網址: https://pages.nist.gov/800-63-3/sp800-63b.html
🧰 密碼實戰策略
🧱 1) 長度為王:用「通關短語」取代「裝飾字串」
- 單純密碼(未加 MFA):建議至少 15 字元;有些規範甚至把 15 當成新門檻。
- 有 MFA 的帳號:可以允許較短(例如 ≥8),但仍鼓勵越長越好、越自然越好。
- 支援空白與 Unicode,讓使用者能輸入自然語句,易記且長。
- 別再硬性規定「一定要符號或大小寫」,改為攔截弱/外洩密碼。
🛡️ 2) 搭配 MFA,逐步走向 Passkeys
- 密碼 + MFA 是 「基本款」。
- Passkeys(FIDO2/WebAuthn) 可抗釣魚、免記密碼,能與行動裝置/硬體金鑰搭配,逐步把「密碼被偷」這件事從根本減量。DBIR 也長期建議以多因子與現代化認證降低憑證濫用。
🧹 3) 不再強制「90 天重設一次」
- 只在有外洩跡象時更換,並立即封鎖風險憑證。這比「時間到了就換」更有效。
🧰 4) 全面導入密碼管理器
- 每個網站一組獨立長密碼,靠管理器生成/記住。這是避免重複使用最實際的方式;配合 HIBP 檢查更好。
🧪 5) 建立「弱密碼阻擋清單」與「外洩名單比對」
- 設計登入/註冊時的弱密碼黑名單(常見字串、鍵盤序列、品牌名稱等),並與外洩密碼資料庫比對(如 HIBP 的 Pwned Passwords)。
🧯 6) 釣魚演練與教育
- 多數入侵都有人為因素;員工越能識別釣魚,憑證被盜的風險越小。DBIR 一再強調「人」是關鍵環節。
小重點:
MFA (Multi-Factor Authentication) 的中文叫做「多因素驗證」(或多重身分驗證)。
MFA 的核心邏輯MFA 的重點在於:至少要從三類要素中,挑選「兩種以上」不同的類別來組合。單一因素 (SFA): 密碼 + 另一個密碼(這不叫 MFA,這只是兩個密碼,因為它們都屬於「知道」類)。
多因素 (MFA): 密碼(知道)+ 手機推播(擁有)+ 指紋(特徵)。
🤔 常見迷思 Q&A(有點殘酷,但很誠實)
Q1:我把 password 變成 P@ssw0rd! 就很安全吧?
A:這叫假複雜。攻擊工具早就把常見替換規則學到滾瓜爛熟,甚至像 P@ssw0rd 這種已是「字典詞」。今年的常見密碼報告裡,Pass@123、Admin@123 類的也一直在榜。別用。
Q2:8 碼夠不夠?
A:在現代硬體與外洩名單加持下,通常不夠。採用長通關短語(15+)更合理;有 MFA 時可視風險採較短門檻,但仍建議向長度靠攏。
Q3:為什麼不強制大家每 90 天換?
A:NIST 已不建議這麼做,因為會導致「小改版」密碼(! 變 !!、1 變 2),結果更好猜。改為在有跡象時立刻換,並以黑名單阻擋弱/外洩密碼。
Q4:我只是小商家,真的需要管這麼多?
A:真的。攻擊者偏好「大量、便宜、可自動化」的目標;弱密碼 + 重複使用是最好下手的入口。年度報告也反覆說明憑證濫用對各規模組織都是大宗。
✅ 一頁檢查清單:立刻做,馬上安全很多
- 〔個人〕把最重要的 5 個帳號(Email、雲端硬碟、社群、金融、電商)全部開啟 MFA。 [
- 〔個人〕下載密碼管理器,把每個網站都換成不同且 16–24 字元以上的隨機密碼;重要帳號用通關短語(更長更好)。
- 〔個人/企業〕用 HIBP – Pwned Passwords 檢查舊密碼是否在外洩清單;有就立刻換。
- 〔企業〕政策更新:
- 移除強制組合規則與定期輪替;改為長度 + 外洩/常見密碼阻擋。
- 支援空白與 Unicode、最小長度(無 MFA:≥15)、最大長度(至少 64)。
- 逐步導入 passkeys(FIDO2/WebAuthn)於高價值系統。
- 〔企業〕建立釣魚演練與社工訓練,因為「人」是最大變數。
小重點:
FIDO2 是由 FIDO 聯盟(由 Google、Apple、Microsoft 等大廠組成)推動的全球標準。
它的目標很簡單:消滅密碼。
它主要由兩個部分組成:1.CTAP (Client to Authenticator Protocol): 這是讓你的電腦與「外部裝置」(如 USB 硬體金鑰、透過藍牙連線的手機)溝通的協議。
2.WebAuthn (Web Authentication): 這是寫給瀏覽器(Chrome, Safari)看的「說明書」,讓網站可以跟你的裝置(手機、指紋感應器)溝通。
它是如何運行的?(公私鑰原理)傳統登入是「網站存你的密碼」,所以網站被駭,密碼就外洩。
FIDO2/WebAuthn 採用的是「非對稱加密」:
- 私鑰 (Private Key): 永遠存放在你的裝置裡(手機安全晶片或硬體金鑰),絕對不會傳出去。
- 公鑰 (Public Key): 存放在網站伺服器。這把鑰匙只能用來「驗證」,不能用來「解鎖」。
當你登入時,網站會發出一個訊息,你的手機用「私鑰」簽名後傳回去。伺服器用「公鑰」對比,確認是你本人就放行。
📚 參考資料 & 延伸閱讀
- 常見弱密碼排行/趨勢:NordPass《Top 200 Most Common Passwords》(含 2025 年代際分析)。
- 外洩密碼檢查:Have I Been Pwned – Pwned Passwords(提供網頁與 API;Cloudflare 全球節點加速)。
- 產業權威報告:Verizon《2024 Data Breach Investigations Report》(DBIR)。
- 政策與標準:NIST SP 800‑63B(身分驗證與密碼政策最新方向);關於長度優先、阻擋常見/外洩密碼、停止定期輪替的解析與實務。
- 弱密碼特徵與風險:Security Boulevard(何謂弱/強密碼,模式與示例)。
- 大型外洩觀察:RockYou2025 整理與影響(僅作趨勢研究參考)。
