密碼怎樣才算安全?
一組安全的密碼至少要符合以下條件:
| 條件 | 說明 | 範例 |
|---|---|---|
| 長度 12 字元以上 | 越長越難破解 | ✓ MyC@t!sFluff2026 |
| 混合大小寫英文 | 增加組合數 | ✓ 有大寫 M、C、F |
| 包含數字 | 不要只放在最後 | ✓ 數字穿插在中間 |
| 包含特殊符號 | @#$%!& 等 | ✓ 有 @ 和 ! |
| 不要用個人資訊 | 生日、名字、電話都不行 | ✗ david19901225 |
| 不要用常見密碼 | password、123456、qwerty | ✗ P@ssw0rd 也不行 |
密碼強度與破解時間對照:
- 6 位純數字:不到 1 秒
- 8 位小寫英文:幾分鐘
- 12 位混合大小寫+數字+符號:數百年
- 16 位混合:幾億年
最簡單的記憶法:用一句話的首字母加數字和符號。例如「我家有兩隻貓,一隻黑一隻白」→ Wjy2zm,1zh1zb!
密碼管理工具推薦
記不住那麼多密碼很正常,密碼管理工具幫你記住所有密碼,你只需要記一組主密碼。
| 工具 | 費用 | 平台 | 特色 |
|---|---|---|---|
| 1Password | ~US$3/月 | 全平台 | 介面最好、家庭方案實用 |
| Bitwarden | 免費 / US$1/月 | 全平台 | 開源、免費版功能完整 |
| iCloud 鑰匙圈 | 免費 | Apple 裝置 | Apple 生態系最方便 |
| Google 密碼管理 | 免費 | Chrome 為主 | Chrome 使用者最方便 |
| KeePass | 免費 | 全平台 | 完全離線、最安全 |
怎麼選?
- Apple 全家桶用戶 → iCloud 鑰匙圈最方便
- Chrome 為主的人 → Google 密碼管理就夠用
- 需要跨平台+家人共用 → 1Password 或 Bitwarden
- 極度重視安全 → KeePass(資料完全在自己手上)
預算有限的話,Bitwarden 免費版就非常夠用了。
雙重驗證(2FA)怎麼設定?
密碼再強也可能被釣魚或資料外洩取得,雙重驗證是第二道防線。
什麼是雙重驗證? 登入時除了密碼,還需要輸入手機收到的驗證碼或 App 產生的一次性密碼。
設定步驟(以 Google 帳號為例):
- 登入 Google 帳號 → 安全性 → 兩步驟驗證
- 選擇驗證方式(建議用驗證器 App)
- 用驗證器 App 掃描 QR Code
- 輸入 App 顯示的 6 位數驗證碼
- 記下備用碼(萬一手機遺失用)
驗證方式比較:
| 方式 | 安全性 | 方便性 |
|---|---|---|
| 簡訊驗證碼 | 中(可被 SIM 劫持) | 高 |
| 驗證器 App(Google Authenticator) | 高 | 中 |
| 硬體金鑰(YubiKey) | 最高 | 低 |
| Passkey(密碼金鑰) | 高 | 高 |
最重要的帳號一定要開:Email、銀行、社群帳號、雲端儲存。
密碼被洩漏怎麼辦?
怎麼知道密碼被洩漏?
- 到 Have I Been Pwned 輸入 Email 查詢
- Google 密碼管理員會自動提醒
- Apple 鑰匙圈的「安全性建議」也會通知
被洩漏後的處理步驟:
- 立刻更改被洩漏網站的密碼
- 如果其他網站用了相同密碼,全部更改
- 開啟該帳號的雙重驗證
- 檢查帳號是否有異常登入紀錄
- 如果是銀行或金融帳號,通知銀行客服
預防勝於治療:每個網站都用不同密碼,就算一個被洩漏,其他帳號也不受影響。
為什麼每個帳號都要用不同密碼?
因為撞庫攻擊(Credential Stuffing)是最常見的駭客手法:
- 駭客從某個被駭的網站取得帳號密碼資料庫
- 用這些帳號密碼自動去嘗試其他網站(銀行、Email、社群)
- 如果你多個網站用相同密碼,駭客一次就能入侵你所有帳號
台灣近年多次大規模資料外洩(電信業者、訂房平台、購物網站),很多人的密碼早就在暗網上流通。
解決方案:使用密碼管理工具,自動為每個網站產生不同的強密碼。你只需要記住一組主密碼。
密碼強度檢測工具
使用下方工具檢測你的密碼強度。此工具完全在你的瀏覽器上運行,密碼不會傳送到任何伺服器。
2026 年最常被破解的密碼
根據資安研究機構統計,以下是最常被使用(也最容易被破解)的密碼排行榜。如果你正在使用其中任何一組,請立刻更換:
| 排名 | 密碼 | 破解時間 |
|---|---|---|
| 1 | 123456 | 不到 1 秒 |
| 2 | password | 不到 1 秒 |
| 3 | qwerty123 | 不到 1 秒 |
| 4 | 111111 | 不到 1 秒 |
| 5 | abc123 | 不到 1 秒 |
| 6 | iloveyou | 不到 1 秒 |
| 7 | 生日(如 19900101) | 幾秒鐘 |
| 8 | 手機號碼(如 0912345678) | 幾秒鐘 |
這些密碼之所以危險,是因為駭客的「字典攻擊」工具會優先嘗試這些常見組合。即使加上數字變化(例如 password123、qwerty2026),一樣會被秒破,因為這些變化模式也在字典裡。
真正安全的密碼應該是隨機產生的長字串,或是用密碼管理工具自動生成。
雙重驗證(2FA)完整教學
雙重驗證是帳號安全最重要的一道防線。即使密碼被盜,沒有第二重驗證,駭客也無法登入你的帳號。
三種驗證方式詳細比較
| 比較項目 | 簡訊 OTP | 驗證器 App | 硬體金鑰(YubiKey) |
|---|---|---|---|
| 安全性 | 中等 | 高 | 最高 |
| 便利性 | 高(自動收到) | 中(需開 App) | 低(需插入裝置) |
| 費用 | 免費 | 免費 | 約 NT$1,500~3,000 |
| 推薦度 | 有勝於無 | 一般人首選 | 高安全需求者 |
| 風險 | SIM 卡劫持、簡訊攔截 | 手機遺失需備用碼 | 金鑰遺失需備用方案 |
簡訊 OTP 最方便但安全性最低,因為駭客可以透過「SIM 卡劫持」(向電信商冒充你,把號碼轉移到他的 SIM 卡)來攔截你的簡訊。
驗證器 App 是目前最推薦的方式,驗證碼在你的手機上離線產生,不經過電信網路,無法被攔截。
硬體金鑰 安全性最高,適合企業管理者、加密貨幣投資者等高風險帳號的保護。
Google Authenticator 設定步驟
- 到 App Store 或 Google Play 下載「Google Authenticator」
- 登入你要保護的帳號(例如 Google、Facebook、Instagram)
- 到帳號的「安全性設定」→ 開啟「兩步驟驗證」
- 選擇「驗證器 App」作為驗證方式
- 畫面會顯示一個 QR Code,用 Google Authenticator 掃描
- App 會開始顯示每 30 秒更換一次的 6 位數驗證碼
- 輸入當前顯示的驗證碼完成設定
- 重要:記下備用碼並存放在安全的地方(例如列印出來鎖在抽屜)
建議優先開啟 2FA 的帳號:Google/Gmail、Facebook、Instagram、LINE、銀行 App、Apple ID、蝦皮、加密貨幣交易所。
被盜帳號緊急處理步驟
如果你發現帳號有異常登入、收到不明的密碼變更通知,或朋友告訴你收到你發的奇怪訊息,請立刻按照以下步驟處理:
- 立即更改密碼:第一時間登入帳號並更改密碼。如果已經無法登入,使用「忘記密碼」流程重設。如果連 Email 都被改了,直接聯繫該平台的客服。
- 開啟雙重驗證(2FA):改完密碼後立刻啟用 2FA,防止駭客再次用同樣的方式入侵。
- 檢查登入裝置:到帳號的安全性設定中,查看「目前登入的裝置」清單,把所有不認識的裝置全部登出。Google、Facebook、LINE 都有這個功能。
- 通知相關人員:如果是社群帳號被盜,立刻在其他管道(電話、其他社群)通知親友「我的帳號被盜了,不要相信任何從我帳號發出的訊息」,特別是要求匯款或點擊連結的訊息。
- 檢查是否有異常操作:仔細檢查帳號中是否有異常的操作紀錄——是否有不明的銀行轉帳、信用卡消費、購物訂單、發送給他人的訊息、修改的個人資料。如果涉及金融損失,立刻通知銀行凍結帳戶,並撥打 165 反詐騙專線報案。
事後預防:被盜帳號找回後,請更換所有使用相同密碼的帳號密碼,並開始使用密碼管理工具為每個帳號設定不同的強密碼。
常見問題
多久該換一次密碼? 以前的建議是每 90 天換一次,但最新的資安專家建議是:如果密碼夠強且沒有被洩漏的跡象,不需要定期更換。頻繁更換反而會讓人設定更簡單的密碼。但如果收到洩漏通知,要立刻更換。
用瀏覽器記住密碼安全嗎? Chrome 和 Safari 的密碼管理功能已經相當安全,密碼會加密儲存。但如果電腦可能被他人使用,建議加上螢幕鎖定密碼。
Passkey 是什麼?要改用嗎? Passkey(密碼金鑰)是用生物辨識(指紋/臉部)取代密碼的新技術,安全性更高也更方便。Apple、Google、Microsoft 都已支援。如果網站提供 Passkey 選項,建議優先使用。
小孩的帳號密碼怎麼管理? 建議使用密碼管理工具的家庭方案(如 1Password 家庭版),家長可以幫小孩管理密碼,同時教導密碼安全的觀念。