这密码强吗？你是不是你的你，04840d0？

 在数位世界行走江湖，密码是最常用来辨认身分的机制，往往一串字符就决定你是你或你不是你。

使用密码对你我而言已是日常，如何选择自己记得住而他人猜不着的密码，实非易事。常见的行李箱密码如000，提款卡或开机使用的四位数密码如1234、1111、0000、2020、1314、2580等，六位数密码如123456、111111、123123、666666等。

今年度《安全性与隐私权国际会议》有篇论文探究使用者解锁行动装置时的个人识别码，该研究发现当采用六位数密码时，使用者可能因为自然浮现的六位数较少，或误以为六位数更安全，故倾向集中选择容易猜测的常用密码，使得六位数密码在受限次数的猜测下，其安全性竟然与四位数密码不分轩轾，有时甚至更差。开机图形锁也有类似现象，即使图形锁从3x3扩展到4x4，使用者仍倾向选择常见的简单图形，安全度增加有限。

当我们设定密码时，不求好记，但求能记，要特别留意密码强度够不够。应用软体及网站的密码规则除数字外，多会要求加上英文字母、大小写或特殊符号等。当系统储存密码时，通常会透过安全杂凑演算法，将密码映射到某个固定位数的数值。这样的杂凑函数值，基本上极难反推原始密码，骇客仅能以预先算好的映射值彩虹表来破解较短的密码。例如「你是不是你的你」之乡民用语为「04840d0」，该字串密码强度偏弱，只需极短时间即可破解，惟若长度加倍，以目前的破解技术来看，即使地老天荒，也可高枕无忧，故密码除了随机多变外，也不能太短，以策安全。

为了补强认证力道，双重因子认证方式设定两道关卡，一道是密码，另一道可以是个人拥有的行动装置、自然人凭证或明年即将发行的数位身分证，也可以是个人生物辨识特征，静态如指纹、虹膜或脸部，动态如声纹或脑波等，若合符节才得通行。这就如同汽车加装排档锁，多一道关卡增强防盗，虽仍无法完全防盗，却因解锁较费劲而相对安全些。

密码管理软体可协助产生高强度密码，并统统帮你记住，但万一外泄的话，你的数位分身可能不保。另一方面，避免密码丢掉的最根本方式就是丢掉密码，创造一个无需密码的系统环境，例如FIDO联盟近年力推免密码通用认证协定，以储存于个人装置里的生物辨识资讯来验明正身。

如今，通关密语芝麻开门众所皆知，但如果藏宝山洞运用生物辨识机制，或许还得阿里巴巴才能打开石门。