密碼強度的數學基礎
密碼安全的核心在於「搜索空間」的大小——攻擊者需要嘗試多少種組合才能猜到你的密碼。
字元集大小對比
| 字元類型 | 字元數 | 12 個字元的組合數 |
|---|---|---|
| 僅小寫字母 | 26 | 約 9.5 × 10^16 |
| 小寫 + 大寫 | 52 | 約 3.9 × 10^20 |
| 小寫 + 大寫 + 數字 | 62 | 約 3.2 × 10^21 |
| 全部(含符號) | 95 | 約 5.4 × 10^23 |
每增加一種字元類型,安全性呈倍數增長。但增加長度的效果更顯著——長度增加 1 個字元,組合數乘以字元集大小;加入符號只乘以約 1.5 倍。
不同強度的破解時間
以每秒 10^12 次猜測(高端 GPU 離線攻擊)估算:
| 密碼長度 | 僅數字 | 小寫字母 | 大小寫+數字+符號 |
|---|---|---|---|
| 6 個字元 | 即時 | 0.02 秒 | 5 秒 |
| 8 個字元 | 即時 | 22 分鐘 | 8 小時 |
| 10 個字元 | 即時 | 23 天 | 5 年 |
| 12 個字元 | 0.001 秒 | 900 年 | 34,000 年 |
| 16 個字元 | 即時(全猜) | 4 億年 | 遠超宇宙年齡 |
結論:12 個字元 + 混合字元類型對於一般用途已極為安全。
台灣常見密碼洩露風險
資料庫洩露(Data Breach)
台灣近年重大資料洩露事件包括政府機關、電商和金融機構的資料庫被駭。檢查你的電子郵件是否曾出現在洩露資料庫中:
- Have I Been Pwned(haveibeenpwned.com)
- 若發現洩露,立即更換該帳號和所有使用相同密碼的帳號密碼
釣魚攻擊(Phishing)
密碼再強也敵不過釣魚攻擊。常見手法包括:
- 偽裝成銀行、政府機關的假網站
- LINE 和 Facebook 私訊中的可疑連結
- 假冒客服人員的電話要求提供驗證碼
防護要點:永遠在網址列確認網站域名是否正確;銀行和政府機關不會用 LINE 要求你提供密碼。
密碼管理最佳實踐
分層密碼策略
- 主密碼(最高強度):密碼管理器主密碼,20 個字元以上,完全隨機,用腦記住
- 次要密碼(高強度):電子郵件帳號,獨立設定,定期更換
- 其他密碼:全部由密碼管理器生成和儲存(16–32 個字元,完全隨機)
台灣推薦的密碼管理器
| 工具 | 費用 | 特點 |
|---|---|---|
| Bitwarden | 免費(個人版) | 開源、自架選項、繁中介面 |
| 1Password | 約 US$3/月 | 使用者體驗佳 |
| KeePass | 免費 | 本地儲存,無雲端風險 |
常見帳號安全等級建議
| 帳號類型 | 建議密碼長度 | 必要 2FA |
|---|---|---|
| 網路銀行 | 16 個字元以上 | 是 |
| 電子郵件 | 16 個字元以上 | 是 |
| 社群媒體 | 12 個字元以上 | 建議 |
| 電商(有信用卡) | 12 個字元以上 | 建議 |
| 論壇/討論區 | 10 個字元以上 | 可選 |
本計算機估算的破解時間假設攻擊者使用暴力破解(Brute Force),實際安全性還取決於帳號是否啟用 2FA、密碼是否為字典詞彙或常見組合,以及帳號平台的安全防護機制(帳號鎖定、速率限制等)。