密碼安全與管理完全指南

大型企業也會遭受資料外洩，你無法控制服務端的安全，但可以確保自己的密碼習慣足夠安全，降低被波及的風險。

駭客取得一個網站的帳密後，會自動嘗試在其他網站登入。如果你多個網站使用相同密碼，一個外洩等於全部外洩。

現代電腦可以在極短時間內嘗試數十億種密碼組合。簡單的密碼（如 123456、password）幾乎可以瞬間被破解。

攻擊者可能透過公開資訊（生日、寵物名、學校名）猜測你的密碼。使用個人資訊作為密碼是常見的安全漏洞。

密碼長度比複雜度更重要。建議至少 12 個字元，16 個字元以上更佳。每多一個字元，破解難度呈指數增長。

用 4-6 個隨機英文單字組合成一句話。例如：correct-horse-battery-staple。長、好記、又難破解。可以加入數字和符號增加強度。

不要用鍵盤排列（qwerty）、連續數字（123456）、常見替換（p@ssw0rd）。駭客的字典攻擊工具早已包含這些模式。

最重要的原則：每個網站和服務使用不同密碼。這樣即使一個帳號被破解，其他帳號不受影響。

密碼管理器的主密碼是你唯一需要記住的密碼。務必設定一個強且獨特的密碼片語，這是保護所有其他密碼的關鍵。

善用密碼管理器的隨機密碼生成功能，為每個帳號產生獨特的高強度密碼，完全不需要自己想。

選擇支援你所有裝置的密碼管理器，確保手機、電腦、平板都能存取密碼。

設定緊急聯絡人，萬一你無法存取帳號時，信任的人可以在等待期後取得存取權限。

使用 Google Authenticator、Authy 或 2FAS 等 App 產生一次性驗證碼。每 30 秒更新一次，安全且不依賴手機號碼。

如 YubiKey 或 Google Titan 實體裝置。插入電腦或靠近手機即可驗證。防釣魚效果最佳，但需額外購買。

透過手機簡訊收取驗證碼。比沒有好，但容易遭受 SIM 卡交換攻擊。建議在有其他選擇時優先使用 TOTP。

部分服務（如 Google、Microsoft）支援手機推播確認。操作方便但需要網路連線。

偽造銀行、社群等網站的登入頁面，誘騙你輸入帳號密碼。防範方法：檢查網址是否正確、不點擊可疑連結、使用密碼管理器（它不會在假網站自動填入）。

惡意軟體記錄你的鍵盤輸入來竊取密碼。防範方法：安裝可靠的防毒軟體、不下載不明來源的程式、使用密碼管理器的自動填入（不需手動輸入）。

在公共 Wi-Fi 等不安全網路上攔截你的資料傳輸。防範方法：避免在公共 Wi-Fi 上登入重要帳號、使用 VPN 加密連線、確認網站使用 HTTPS。

攻擊者偽裝成客服或朋友，透過對話套取你的密碼或驗證碼。防範方法：任何人都不應該要求你提供密碼、不分享驗證碼給任何人。

用常見密碼嘗試大量帳號。防範方法：不使用常見密碼、啟用帳號鎖定功能、使用 2FA。

使用 Have I Been Pwned 檢查 email 是否出現在外洩資料庫。密碼管理器通常也有內建的外洩檢查功能。

整理你所有的線上帳號。刪除不再使用的帳號，更新重要帳號的密碼，確保所有帳號都使用獨立密碼。

重要帳號（如 Google、Apple ID、社群帳號）都提供登入活動記錄。定期檢查是否有不明裝置或地點的登入。

確保帳號的恢復用 email 和電話號碼是最新的。檢查安全問題的答案是否仍然有效。

審核使用 Google/Apple/Facebook 帳號登入的第三方應用。移除不再使用或不信任的授權。

下載並設定 Bitwarden 或其他密碼管理器。設定一個強大的主密碼。這是最重要的第一步。

立即更改你的主 email 帳號密碼為強密碼，並啟用 2FA。Email 是所有帳號的恢復管道，保護 email 等於保護一切。

更改銀行、投資、支付平台等金融相關帳號的密碼，並啟用 2FA。

每次登入一個網站時，順手將密碼更新為密碼管理器生成的強密碼並儲存。不需要一天做完，慢慢來即可。

將所有 2FA 恢復碼列印或寫下，存放在實體安全的地方（如保險箱）。這是帳號的最後救命稻草。