密碼為什麼這麼重要?
根據 Verizon 2025 年資料外洩調查報告(DBIR),超過 80% 的資料外洩事件與密碼相關。最常見的原因包括:使用弱密碼、多個網站共用相同密碼、遭受釣魚攻擊。每年全球因帳號被盜造成的損失高達數百億美元,從個人的社群媒體帳號被盜發送詐騙訊息,到企業的客戶資料大規模外洩,密碼安全問題無處不在。
密碼是你數位身份的第一道防線。一旦密碼被破解,攻擊者可以存取你的電子郵件、社群媒體、銀行帳戶、雲端儲存,甚至利用你的身份進行詐騙。更可怕的是,當攻擊者取得你的電子郵件控制權後,幾乎可以透過「忘記密碼」功能重設你所有其他帳號的密碼。因此,正確管理密碼不僅是技術問題,更是保護個人財產和隱私的關鍵。
台灣的資安現狀
台灣的數位生活高度發達,一般人平均擁有超過 50 個線上帳號(電子郵件、社群媒體、網購、銀行、串流影音、政府服務等)。根據 TWCERT 的統計,台灣每月遭受的網路攻擊次數超過數千萬次,其中相當比例涉及帳號竊取。常見的受害情境包括:
- LINE 帳號被盜後向親友借錢
- 蝦皮 / PChome 帳號被盜刷購物
- 遊戲帳號被盜轉移虛寶
- 公司 Email 被入侵發送假發票
- 加密貨幣錢包被盜,資產永久損失
什麼是強密碼?
強密碼的核心概念是熵(Entropy)——密碼的隨機性和不可預測性。熵值以 bit 為單位,熵越高,暴力破解所需的時間越長。計算方式為:熵 = log2(字元集大小 ^ 密碼長度)。
強密碼的四大要素
| 要素 | 說明 | 具體建議 |
|---|---|---|
| 長度 | 至少 12 個字元,建議 16+ | 長度是最重要的因素,每增加一個字元,破解難度呈指數級增長 |
| 複雜度 | 混合大小寫、數字、符號 | 使用至少 3 種字元類型 |
| 隨機性 | 不包含字典單字或個人資訊 | 避免生日、名字、鍵盤模式(如 qwerty) |
| 唯一性 | 每個網站使用不同密碼 | 任何一個網站的密碼洩漏都不會影響其他帳號 |
密碼強度與破解時間
以下是不同密碼在現代硬體(NVIDIA RTX 4090 GPU 叢集)下的暴力破解時間估算:
| 密碼類型 | 範例 | 熵值 (bits) | 破解時間 |
|---|---|---|---|
| 6 位純數字 | 123456 |
20 | < 1 秒 |
| 8 位小寫字母 | password |
38 | 5 分鐘 |
| 8 位混合大小寫+數字 | Pass1234 |
48 | 1 小時 |
| 12 位混合所有類型 | Kj9#mP2&xL5! |
79 | 3,400 年 |
| 16 位混合所有類型 | aB3$kL9#mP2&xQ5! |
105 | 數十億年 |
| 4 個隨機單字短語 | correct-horse-battery-staple |
52 | 550 年 |
從這張表可以明顯看出:密碼長度遠比複雜度重要。一個 16 位的混合密碼幾乎不可能被暴力破解,而一個 6 位的純數字密碼在瞬間就能被攻破。
密碼短語(Passphrase)策略
密碼短語是目前被資安專家公認的最佳密碼策略——用幾個隨機單字組成的長密碼,既安全又容易記憶。這個概念最早由知名漫畫 xkcd 的第 936 期漫畫普及化。
correct-horse-battery-staple (經典範例,約 44 bits 熵)
purple-elephant-dancing-rain (隨機四字短語)
台北-鳳梨-火車-彩虹-書桌 (中文五字短語,更高熵值)
一個 4 個隨機單字的密碼短語(從 7,776 個字的字典中隨機選取),其熵值約 52 bits,相當於一個 10 位的隨機混合密碼,但更容易記住。如果增加到 5-6 個單字,安全性更上一層樓。
關鍵注意事項:這些單字必須是真正隨機選取的,不能是有邏輯關聯的片語。「我愛台灣很美麗」不是好的密碼短語,因為它有語意邏輯,可以被語言模型預測。
十大最常見的弱密碼
根據 NordPass 2025 年的統計,全球最常被使用的密碼是:
123456(連續六年蟬聯第一)password1234567891234512345678qwertyabc123111111password11234567
如果你的密碼出現在這份清單中,或者與這些模式相似,請立即更換。攻擊者在進行暴力破解時,會優先嘗試這些最常見的密碼以及它們的變體。
你以為很聰明但其實不安全的密碼
很多人以為用替換字母的方式就能產生強密碼,例如:
p@ssw0rd(用 @ 取代 a,用 0 取代 o)L0v3Y0u!(Leet Speak 替換)Admin2026!(角色+年份+符號)Zhang1990!(姓氏+生日+符號)
這些模式攻擊者早已知曉,現代的密碼破解工具都內建了這些替換規則,破解速度與原始弱密碼相差不遠。
常見的密碼攻擊方式
了解攻擊手法是防護的第一步。以下是五種最常見的密碼攻擊方式及其防護策略:
1. 暴力破解(Brute Force Attack)
系統性地嘗試所有可能的字元組合,直到找到正確密碼。現代 GPU 叢集每秒可嘗試數十億組密碼組合。密碼越長、字元集越大,暴力破解所需的時間呈指數級增長。
防護方式:使用 12 位以上的強密碼。即使是最先進的硬體,也需要數千年才能暴力破解 12 位混合密碼。
2. 字典攻擊(Dictionary Attack)
使用常見密碼清單(如 rockyou.txt,包含超過 1,400 萬個真實密碼)和單字字典來嘗試。很多人使用單字加數字(如 monkey123),這種密碼在字典攻擊面前毫無抵抗力。字典攻擊還會嘗試常見的變體,如首字母大寫、末尾加數字和符號。
防護方式:不要使用字典單字、常見密碼模式或可預測的組合。使用密碼產生器產生真正隨機的密碼。
3. 撞庫攻擊(Credential Stuffing)
利用其他網站洩漏的帳號密碼組合,在不同網站上批量嘗試登入。攻擊者會購買或下載暗網上的洩漏資料庫(一次外洩事件可能包含數百萬甚至數十億筆帳密),然後用自動化工具在各大網站上逐一嘗試。
這就是為什麼密碼重用如此危險——只要有一個網站被入侵,你所有使用相同密碼的帳號都會受影響。你可能完全不知道某個 10 年前註冊的小論壇已經被入侵了。
防護方式:每個網站使用不同密碼 + 密碼管理器。定期在 Have I Been Pwned 查詢你的 Email 是否出現在洩漏資料庫中。
4. 釣魚攻擊(Phishing)
偽造登入頁面或發送假冒郵件,誘騙使用者輸入帳號密碼。現代的釣魚頁面製作精良,幾乎與正版網站一模一樣。常見的釣魚手法包括:
- 偽造銀行網站的「帳號異常通知」信件
- 偽造 Google / Microsoft 的「密碼即將到期」通知
- 偽造快遞公司的「包裹派送失敗」簡訊
- 偽造電商平台的「訂單確認」頁面
即使你的密碼再強,如果在釣魚頁面上輸入,攻擊者就會立即得到你的密碼。
防護方式:永遠檢查 URL 是否正確(注意相似字元如 g00gle.com)、不要點擊可疑連結、啟用兩步驟驗證(即使密碼被盜也無法登入)。密碼管理器的自動填入功能也能防範釣魚——因為它只會在正確的域名上自動填入密碼。
5. 社交工程(Social Engineering)
通過研究你的社群媒體和公開資訊,猜測密碼中可能包含的元素。攻擊者可以從你的 Facebook 知道你的生日、寵物名字、畢業學校、喜歡的球隊,這些都是常見的密碼組成元素。
防護方式:密碼不要包含任何個人資訊,使用完全隨機的密碼。
密碼管理器推薦
人類不擅長記憶大量隨機密碼,這正是密碼管理器存在的意義。你只需要記住一個強壯的主密碼(Master Password),其他所有密碼都由密碼管理器安全儲存和自動填入。
三大推薦選擇
| 工具 | 特色 | 價格 | 適合對象 |
|---|---|---|---|
| Bitwarden | 開源、免費版功能完整、可自架 | 免費 / $10/年 | 重視開源和透明度的使用者 |
| 1Password | 介面最優秀、家庭方案佳、旅行模式 | $36/年 | 家庭使用者、Mac/iOS 生態系 |
| KeePass | 完全本地儲存、離線使用、最高安全性 | 免費開源 | 技術使用者、不信任雲端 |
密碼管理器的核心功能
- 密碼生成:自動產生 20+ 字元的強隨機密碼,你永遠不需要自己發明密碼
- 自動填入:瀏覽器擴充功能自動填入帳密,同時防範釣魚攻擊(假網站域名不匹配就不會自動填入)
- 跨裝置同步:手機、電腦、平板都能使用同一個密碼庫
- 密碼健康檢測:檢查是否有密碼被外洩、重複使用或過於簡單
- 安全筆記:儲存信用卡資訊、軟體序號、Wi-Fi 密碼等敏感資料
- 緊急存取:設定信任的聯絡人,在緊急情況下可存取你的密碼庫
主密碼的設定建議
密碼管理器的主密碼是你唯一需要記住的密碼,必須特別強壯:
步驟 1:隨機選擇 5-6 個不相關的中文或英文單字
步驟 2:在單字之間加入分隔符號
步驟 3:確保總長度超過 20 個字元
範例:紫色-大象-跳舞-下雨-書桌-2026
範例:mango$river$clock$forest$bridge$99
主密碼不要存在任何電子設備上。如果擔心忘記,可以寫在紙上放在家中保險箱或上鎖的抽屜中。練習幾天直到能流暢輸入後,再決定是否銷毀紙條。
兩步驟驗證(2FA)
兩步驟驗證是在密碼之外加上第二層保護。即使密碼被盜,攻擊者沒有第二因素也無法登入。這是目前最有效的帳號保護措施之一。
2FA 的類型(按安全性排序)
| 類型 | 安全性 | 說明 | 缺點 |
|---|---|---|---|
| Passkey / FIDO2 | 最高 | 生物辨識 + 裝置綁定 | 平台支援仍在擴展中 |
| 硬體金鑰(YubiKey) | 最高 | 實體 USB/NFC 裝置 | 需額外購買(約 $50 美元) |
| 驗證器 App(TOTP) | 高 | Google Authenticator、Authy | 換手機時需要遷移 |
| SMS 簡訊 | 中 | 手機收到驗證碼 | 有 SIM 卡劫持(SIM swap)風險 |
| Email 驗證 | 低 | Email 收到驗證碼 | 依賴 Email 帳號的安全性 |
建議的 2FA 設定順序
- 最優先啟用 2FA 的帳號:電子郵件(最關鍵,因為其他帳號的密碼重設都靠它)、銀行帳戶、雲端儲存、社群媒體、加密貨幣交易所
- 使用驗證器 App 而非 SMS:SMS 可能被 SIM swap 攻擊竊取。推薦使用 Authy(支援雲端備份)或 Google Authenticator
- 保存備份碼:大多數服務會提供一次性備份碼(Recovery Codes),務必安全保存在密碼管理器中或列印出來放在安全的地方
- 考慮硬體金鑰:如果是高價值帳號(Google 帳號、加密貨幣交易所、企業管理員帳號),強烈建議使用 YubiKey 等硬體金鑰
TOTP 驗證器的運作原理
TOTP(Time-based One-Time Password)的原理其實很簡單:你和伺服器共享一個密鑰(Secret Key),雙方根據當前時間(每 30 秒一個區間)和這個密鑰,用 HMAC-SHA1 演算法計算出一個 6 位數字。由於雙方使用相同的密鑰和相同的時間,所以會得到相同的驗證碼。
這就是為什麼你的手機不需要網路連線也能產生正確的驗證碼——它只需要正確的時間和之前掃描 QR Code 時儲存的密鑰。
Passkey — 密碼的未來
Passkey(通行金鑰)是 FIDO Alliance 和 W3C 共同推動的下一代身份驗證標準,目標是完全取代傳統密碼。Apple、Google、Microsoft 三大平台都已支援 Passkey。
Passkey 的運作原理
- 註冊時,你的裝置產生一對公鑰和私鑰
- 公鑰送給網站伺服器儲存
- 私鑰安全地存在你的裝置中(由 Secure Enclave / TPM 保護)
- 登入時,裝置用私鑰簽章,伺服器用公鑰驗證
- 整個過程不傳輸任何密碼,無法被釣魚或暴力破解
Passkey 的優勢
- 防釣魚:Passkey 綁定特定網域,假冒網站無法觸發驗證
- 無密碼外洩風險:伺服器只儲存公鑰,即使資料庫被盜也沒有密碼可偷
- 更方便:只需 Face ID / Touch ID / Windows Hello 即可登入
- 內建雙因素:結合了「你擁有的東西」(裝置)和「你是誰」(生物辨識)
- 跨裝置同步:透過 iCloud Keychain 或 Google Password Manager 同步
現階段的建議
雖然 Passkey 是未來趨勢,但目前支援的網站仍在增加中。建議你:
- 優先在支援 Passkey 的大型平台啟用(Google、Apple、Microsoft、GitHub)
- 同時保留傳統密碼 + 2FA 作為備用登入方式
- 繼續使用密碼管理器管理尚未支援 Passkey 的網站
企業與團隊的密碼安全管理
如果你是企業管理者或 IT 負責人,密碼安全不僅是個人問題,更是組織層級的資安課題。
建立密碼政策
企業應制定明確的密碼政策,包括:
- 最低密碼長度:至少 12 個字元
- 強制 2FA:所有企業帳號必須啟用兩步驟驗證
- SSO 整合:使用 Single Sign-On 減少密碼數量
- 特權帳號管理:管理員帳號使用獨立的強密碼 + 硬體金鑰
- 離職流程:員工離職時立即撤銷所有存取權限並更換共用密碼
團隊密碼共享
團隊協作中經常需要共享帳號密碼(如社群媒體帳號、雲端服務管理帳號)。絕對不要透過 LINE、Slack 或 Email 傳送密碼。正確做法:
- 使用密碼管理器的「共享保險庫」功能
- Bitwarden Organizations 或 1Password Teams 都支援安全的團隊密碼共享
- 可以設定「只能填入、不能查看」的權限,避免密碼被複製外流
密碼安全最佳實踐清單
- [ ] 每個帳號使用唯一的強密碼(12 位以上)
- [ ] 使用密碼管理器管理所有密碼
- [ ] 啟用兩步驟驗證(優先使用 TOTP App 或硬體金鑰)
- [ ] 定期在 Have I Been Pwned 檢查帳號是否出現在外洩資料庫
- [ ] 不在公共場所的 Wi-Fi 下登入敏感帳號(或使用 VPN)
- [ ] 不將密碼寫在便利貼或未加密的檔案中
- [ ] 不透過 LINE、Messenger 或 Email 傳送密碼
- [ ] 發現可疑登入活動立即更改密碼並檢查帳號安全設定
- [ ] 離職時更改所有與工作相關的帳號密碼
- [ ] 定期清理不再使用的帳號(減少攻擊面)
常見問題(FAQ)
Q1:密碼需要定期更換嗎?
美國國家標準暨技術研究院(NIST)在最新的數位身份指南(SP 800-63B)中已不再建議定期更換密碼。原因是強制定期更換會導致使用者選擇更弱的密碼(如在舊密碼後面加 1、2、3)。正確的做法是:使用強密碼 + 密碼管理器 + 2FA,只在以下情況更換密碼:發現帳號被盜、密碼出現在外洩資料庫中、服務商通知資安事件。
Q2:密碼管理器本身被入侵怎麼辦?
主流密碼管理器使用零知識架構(Zero-Knowledge Architecture),即使伺服器被入侵,攻擊者拿到的只是經過 AES-256 加密的密文,沒有你的主密碼就無法解密。2022 年 LastPass 的外洩事件證明了這一點——雖然加密的密碼庫被竊取,但使用強主密碼的用戶資料至今未受影響。
Q3:公共 Wi-Fi 下輸入密碼安全嗎?
如果網站使用 HTTPS(網址列有鎖頭圖示),你的資料是加密傳輸的,密碼不會被截獲。但仍建議:只在 HTTPS 網站輸入密碼、避免在公共場所登入銀行或機密帳號、考慮使用 VPN 加密所有流量。
Q4:我有上百個帳號,要怎麼開始整理密碼?
不需要一次改完所有密碼。建議分優先級處理:(1)最優先:Email、銀行、密碼管理器(1 天內完成);(2)高優先:社群媒體、雲端儲存、購物網站(1 週內完成);(3)中優先:訂閱服務、論壇帳號(1 個月內完成);(4)低優先:不常用的帳號(遇到時再改)。每次改密碼時,用密碼管理器自動產生強密碼並儲存,同時啟用 2FA。
Q5:手機的指紋辨識和臉部辨識安全嗎?
生物辨識作為解鎖裝置的方式非常方便且安全。但要注意,生物辨識無法「更換」——你的指紋和臉部特徵是永久的。因此,建議將生物辨識用於解鎖裝置或密碼管理器,但重要帳號仍應搭配密碼 + 2FA 作為完整的安全防線。
產生安全密碼
需要快速產生一個強密碼?使用 Super Tools 的密碼產生器,可以自訂密碼長度(8-128 字元)、選擇包含的字元類型(大寫、小寫、數字、符號),一鍵產生高強度隨機密碼。你的密碼不會被傳送到伺服器,所有運算都在瀏覽器本地完成,確保密碼的私密性。
保護密碼安全是每個人的責任。從今天開始,安裝一個密碼管理器、啟用兩步驟驗證、為每個帳號設定唯一的強密碼——這三個簡單的步驟就能大幅提升你的資安防護等級。同時推薦閱讀網站 SEO 檢查清單中關於 HTTPS 和安全標頭的部分,確保你的網站也具備足夠的安全防護。