※ 引述《goodday5566 (好天五六)》之銘言： : 今天早上起來拿起手機 : 發現有一則通知 : 是Apple ID在聖保羅被要求登入 : 不過最近除了第一次嘗試用BTS買了台iPad外 : 從來沒動過我的Apple ID : 就算要登入也是用Face ID自動登入 : 也沒有手動輸入過我的密碼 : 看來今天下班後要來把我所有的密碼再更新過一輪了 兩個檢查重點 1. 密碼是不是很好猜？ 例如：用 email 出現的單字重新組合的，或者是常用密碼如 p@ssw0rd 2. 有沒有在其他網站使用類似甚至相同的密碼？ 尤其是用在那些看起來維護經費有限的小公司網站，或是為某些事情快速搭的短期網站。 如果有，那只要他們資料外洩，那你使用相同密碼的重要網站帳號就有可能被猜到。 密碼外洩的原因通常都是上面那兩點。 綜合來看，你會發現若要安全，那密碼一定要難猜且各站盡可能不一致， 再不然每個網站都要啟動多因素認證，不然早晚會有夠重要的帳號被攻破， 但這很不容易做到，畢竟現代人動不動就有幾十個網站的帳號， 而且有越來越多網站要求定期更換密碼，但每個網站都去做第二重認證也很麻煩， 於是最後往往又更難避免重複。 為解決這個問題，除了使用 Google、Microsoft 等帳號在新網站登入外， 一個好落實的做法是除了本來會要求多因素認證的重要帳號如 Google、Microsoft、Apple、金融機構和一些支付外， 其他不常用或未留交易資訊的帳號密碼全部用亂數產生， 然後使用密碼管理服務去記那些亂數密碼，等到要登入次要網站時， 再透過 mobile app、瀏灠器外掛等工具輸入密碼。 這樣不但可以取強度超高的密碼不怕人家猜到， 而且不管網站是否要求更換密碼也都不費神，可以說是兼顧安全與方便。 我是用 Microsoft 帳號記密碼，然後 Google 記認證碼，這樣就算 Microsoft 被盜， 駭客也缺乏足夠的資料登入有交易方法的重要帳號，進而能控制最壞情況下的損失。 網路時代人們動不動就是幾十個帳號，防盜工作真的很重要不容輕忽， 因此分享一點管理資安的方法供大家參考。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.167.21.1 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1728149739.A.A3A.html