密码安全与管理完全指南

大型企业也会遭受资料外泄，你无法控制服务端的安全，但可以确保自己的密码习惯足够安全，降低被波及的风险。

骇客取得一个网站的帐密后，会自动尝试在其他网站登入。如果你多个网站使用相同密码，一个外泄等于全部外泄。

现代电脑可以在极短时间内尝试数十亿种密码组合。简单的密码（如 123456、password）几乎可以瞬间被破解。

攻击者可能透过公开资讯（生日、宠物名、学校名）猜测你的密码。使用个人资讯作为密码是常见的安全漏洞。

密码长度比复杂度更重要。建议至少 12 个字元，16 个字元以上更佳。每多一个字元，破解难度呈指数增长。

用 4-6 个随机英文单字组合成一句话。例如：correct-horse-battery-staple。长、好记、又难破解。可以加入数字和符号增加强度。

不要用键盘排列（qwerty）、连续数字（123456）、常见替换（p@ssw0rd）。骇客的字典攻击工具早已包含这些模式。

最重要的原则：每个网站和服务使用不同密码。这样即使一个帐号被破解，其他帐号不受影响。

密码管理器的主密码是你唯一需要记住的密码。务必设定一个强且独特的密码片语，这是保护所有其他密码的关键。

善用密码管理器的随机密码生成功能，为每个帐号产生独特的高强度密码，完全不需要自己想。

选择支援你所有装置的密码管理器，确保手机、电脑、平板都能存取密码。

设定紧急联络人，万一你无法存取帐号时，信任的人可以在等待期后取得存取权限。

使用 Google Authenticator、Authy 或 2FAS 等 App 产生一次性验证码。每 30 秒更新一次，安全且不依赖手机号码。

如 YubiKey 或 Google Titan 实体装置。插入电脑或靠近手机即可验证。防钓鱼效果最佳，但需额外购买。

透过手机简讯收取验证码。比没有好，但容易遭受 SIM 卡交换攻击。建议在有其他选择时优先使用 TOTP。

部分服务（如 Google、Microsoft）支援手机推播确认。操作方便但需要网路连线。

伪造银行、社群等网站的登入页面，诱骗你输入帐号密码。防范方法：检查网址是否正确、不点击可疑连结、使用密码管理器（它不会在假网站自动填入）。

恶意软体记录你的键盘输入来窃取密码。防范方法：安装可靠的防毒软体、不下载不明来源的程式、使用密码管理器的自动填入（不需手动输入）。

在公共 Wi-Fi 等不安全网路上拦截你的资料传输。防范方法：避免在公共 Wi-Fi 上登入重要帐号、使用 VPN 加密连线、确认网站使用 HTTPS。

攻击者伪装成客服或朋友，透过对话套取你的密码或验证码。防范方法：任何人都不应该要求你提供密码、不分享验证码给任何人。

用常见密码尝试大量帐号。防范方法：不使用常见密码、启用帐号锁定功能、使用 2FA。

使用 Have I Been Pwned 检查 email 是否出现在外泄资料库。密码管理器通常也有内建的外泄检查功能。

整理你所有的线上帐号。删除不再使用的帐号，更新重要帐号的密码，确保所有帐号都使用独立密码。

重要帐号（如 Google、Apple ID、社群帐号）都提供登入活动记录。定期检查是否有不明装置或地点的登入。

确保帐号的恢复用 email 和电话号码是最新的。检查安全问题的答案是否仍然有效。

审核使用 Google/Apple/Facebook 帐号登入的第三方应用。移除不再使用或不信任的授权。

下载并设定 Bitwarden 或其他密码管理器。设定一个强大的主密码。这是最重要的第一步。

立即更改你的主 email 帐号密码为强密码，并启用 2FA。 Email 是所有帐号的恢复管道，保护 email 等于保护一切。

更改银行、投资、支付平台等金融相关帐号的密码，并启用 2FA。

每次登入一个网站时，顺手将密码更新为密码管理器生成的强密码并储存。不需要一天做完，慢慢来即可。

将所有 2FA 恢复码列印或写下，存放在实体安全的地方（如保险箱）。这是帐号的最后救命稻草。