密碼強度檢查

估計破解時間

診斷與建議

長度比複雜度重要。「P@ssw0rd!」看起來複雜、其實是攻擊字典裡的常客；「藍色腳踏車在屋頂唱歌」這種長句子反而難猜。每多一個字元、攻擊者要嘗試的組合就是指數成長——複雜度規則只是線性增加難度、長度才是指數級的。

美國 NIST SP 800-63B 已不建議「定期強制換密碼」。研究發現、被迫定期更換時、多數人只會做可預測的小改動（Password1 → Password2）、整體安全反而下降。新的建議是：用長密碼、不重複使用、只有在懷疑外洩時才更換。

Passphrase（通關密語）是普通人最實用的策略。挑四五個彼此無關的詞組成一句話、長度自然超過 20 字元、好記又難猜。搭配密碼管理器、每個網站用不同密碼、才是治本。

再強的密碼、也只是「單一一道門」。密碼強度解決的是「被猜出來」的問題；但現實中密碼更常是被「釣走」或「外洩」的——你打得再長、輸進釣魚網站就直接送給攻擊者了。所以資安界的共識是：密碼之上要再加層、最終目標是讓密碼退場。

MFA（Multi-Factor Authentication、多因素驗證）：第二道門。把「你知道的」（密碼）加上「你擁有的」（手機、實體金鑰）或「你本身」（指紋、臉）。就算密碼外洩、攻擊者沒有你的第二因素照樣進不來。但要知道：簡訊 OTP 是最弱的一種（可被 SIM 卡劫持與釣魚轉發）、驗證 App 好一些、FIDO2 實體金鑰／Passkey 最強——因為它會驗證網站身分、釣魚網站騙不到它。順序記住：能用 Passkey 就不用 App、能用 App 就不用簡訊、但有簡訊仍遠勝什麼都沒有。

無密碼驗證（Passwordless）：讓密碼直接退場。Passkey 用公開金鑰密碼學取代密碼：你的裝置保管私鑰、網站只存公鑰——網站被駭也沒有密碼可外洩、釣魚網站因為網域不對拿不到簽章。蘋果、Google、微軟都已支援、許多大型網站可以直接「用 Face ID／指紋登入」。如果你常用的服務支援 Passkey、開起來、那一個帳號就從此告別密碼問題。

零信任（Zero Trust）：連「登入過」都不再無條件信任。傳統思維是城堡護城河——進了門就都信任；零信任的原則是「永不信任、持續驗證」：每一次存取都重新看「你是誰、用什麼裝置、從哪裡來、要拿什麼」、而不是看你在不在內網。對個人的啟示很實際：別因為「這是家裡電腦」就鬆懈、每個帳號獨立密碼＋MFA、敏感操作要求再次驗證、裝置保持更新——你自己就能實踐零信任的精神。

現在就開：常用服務的啟用入口

讀完不動手等於沒讀。挑你最常用的開始、每個大概 3 分鐘：

• Google／Gmail：兩步驟驗證設定頁（登入後直達）｜官方說明｜進階：改用 Passkey 登入
• Facebook：帳號中心 → 密碼和帳號安全（雙重驗證在這裡開）｜官方說明
• Instagram：帳號中心 → 密碼和帳號安全（和 FB 同一個帳號中心）｜官方說明

小提醒：開啟時優先選「驗證應用程式」或 Passkey、簡訊留作備援就好；記得把備援碼（backup codes）存進密碼管理器、手機掉了才救得回來。