你的密碼安全嗎？

最近 intel 推出一個密碼安全評斷網頁，可以讓你把密碼送上去來評估密碼強度，並且會告訴你【以暴力破解密碼所需的時間】。

首先大略跟各位介紹一下暴力破解法的方式，顧名思義，就是猛 Try 密碼，只要是沒有防止重試機制的所在，大概都能用這個方式破解，畢竟也就那些排列組合，只是差在時間的問題上。

首先第一步是字典檔，雖然不是必備，但是不可否認的，把常見的、有意義的字做成字典檔（每個駭客其實都有自己的字典檔），只要字典檔做的好的話，密碼基本上是瞬殺。字典檔還可以加速破解數個有意義的辭彙組成的密碼(例如goodbigapple，不過如果穿插大小寫就可以拖久一點)。

字典檔做了無用之功的話，就開始進行排列組合的車輪戰，從一個字開始試，通常會有不同的演算法以加速，比如，先試4~6字的英數混合密碼可能比較常見。總之，在高速運算下，一切也就一瞬間，時間反而會花在等待密碼正確與否的回應(網路慢啊…)所以這個網頁中的數值在看的時候，還是要打個折扣的。

這邊也大概提一下密碼安全性的幾個原則：

1. 愈多字的密碼需要越多的時間來破
2. 愈複雜的密碼需要越多的時間來破
3. 單論純粹型式的話，字母比數字安全，尤其是加上符號的話

一般來說，這兩個原則是共通的，也就是說，即使是包括大小寫字母、數字、符號的密碼，在 5 個字元以下，還是跟簡單密碼差不多可以算是秒殺等級。

那怎麼樣簡單的做出好記安全性又強的密碼？其實很簡單，尤其華人來說，有一個得天獨厚、非常棒的東西，就是中文輸入法，這東西打在鍵盤上不成中文的話，大概沒有外國人能預測，是最好的編碼法。

1. 找一小句話
2. 以你喜歡的中文輸入法打入
3. 如果是倉頡或嘸蝦米的話，只有用到26字母，可以在字與字中間補上空白或記得的符號
4. 把密碼維持在 6 字以上，最好能達到 10 字以上

光是「臣亮言:」的注音，就可以讓他算 4 個月，「水到渠成」的注音可以讓他算 85 年，「喜羊羊與灰太郎」更可以撐 4917億年，PTT有人直接丟出師表全文(中文)，計算時間直接爆表，不過每次打帳密大概會哭出來吧。 XD

最後，還是要提醒一句，資訊安全不是只有密碼學，如果讓人進來電腦直接偷看走密碼，多複雜都沒用。