什麼是弱密碼呢？就是特別容易被猜中，或是許多人愛用的同一種邏輯所設定的密碼：例如，去年一位國外工程師曾在推特發問，為何 ji32k7au4a83 這個看似安全的密碼在 Have I been pwned 資料庫中出現上百次。然而，這個問題竟然只有台灣網友答得出來，對照注音鍵盤 ji32k7au4a83 = 我的密碼。不僅如此，網友還發現和password、iloveyou相同邏輯的 au4a83、ji394su3 密碼使用量遠超過 ji32k7au4a83。

根據最新美國標準與科技研究院（NIST）所提出的建議，高強度的密碼設定原則，最好包括15個字元以上，並由幾個不相干的名詞或數字組成：例如，VisonExamAttention2020YouLove，這樣超長的密詞可套用自己才知道的邏輯進行組合，比亂數形成的密碼方便記憶，也不容易被破解。另外，若無任何證據顯示密碼有外流的情況，頻率過高的更換密碼，為難的不是入侵者，而是密碼的使用者！

密碼的保護，除了應避免使用弱密碼外，也必須考慮外來的嘗試與破解！當系統遭遇錯誤率過高的外來的密碼嘗試時，應直接封鎖嘗試的來源，而非將該帳號封鎖，這樣才能在避免「暴力破解(Brute-force attack)」、「字典檔攻擊(Dictionary attack)」與「密碼噴灑(Password Spraying)」的時候，不至於困擾擁有正確密碼的主人。

最後，也是大家最容易疏忽的事：
千萬不要在多個服務都使用同一組密碼！一旦任一服務有密碼外洩事件發生時，使用相同密碼的其他服務也跟著一起曝險！

ASRC 研究中心的帳密安全提醒
．選擇使用者保護較嚴謹的系統服務，例如一定要有防密碼濫猜的機制
．切記，不要一套密碼走天下。不同的服務間使用相同的密碼，只要一個服務的帳密外洩，很容易牽連其他服務帳戶，尤其網路銀行登入密碼更要避免重覆使用。
．避免使用公開在外或社群網站可見的生日、姓名、手機等資料做為密碼
．雙因子驗證的搭配使用，比定期更換密碼的保護效益有用許多

驗證郵件密碼強度，SPAM SQR 密碼強度檢測模組
企業的電子郵件密碼安全，可透過中華數位科技 SPAM SQR 密碼強度檢測模組定期實施密碼稽核，確保密碼強健度，降低密碼被猜中的風險，避免員工的弱密碼成為資安破口。詳情請洽中華數位科技02-25422526，或上官網查詢https://www.softnext.com.tw/

關於 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center)，長期與中華數位科技合作，致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜，並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式，促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 http://www.asrc-global.com。

- 新聞稿有效日期，至2020/06/06為止

上一篇：標準普爾維持HTSC和華泰國際「BBB/A-2」評級，展望「正面」
下一篇：【資策會】Google Ads關鍵字廣告操作班（台北8/1）