安全指南

MFA 與強密碼

了解多因素驗證與強密碼如何相輔相成，以及為何兩者無法互相取代。

摘要

MFA 與強密碼解決不同的問題。強密碼讓猜測和重複使用攻擊更困難。MFA 則在密碼被竊取、釣魚或外洩時提供第二道防線。對於重要帳戶，兩者都應使用。

MFA 類型

MFA 可能包含驗證器應用程式、硬體安全金鑰、通行金鑰、推播核准、簡訊或電子郵件驗證碼。各種方法在防釣魚能力和復原風險上有所不同。第二組密碼並非真正的第二因素。

實務建議

• 為每個帳戶使用獨一無二的隨機密碼。
• 為電子郵件、銀行、工作、雲端和密碼管理員帳戶啟用 MFA。
• 優先選擇具備防釣魚能力的方法（若可用）。
• 安全保存復原碼。
• 定期檢查備份方法與信任的裝置。

詳細指引

本指南聚焦於 MFA 與強密碼如何互補。對象是那些懷疑 MFA 是否讓密碼強度不再重要的使用者，因此實務目標並非提出驚人的安全主張，而是選擇一個能在日常使用中存活下來的密碼習慣：登入表單、密碼管理員、手機鍵盤、帳戶復原、共用裝置，以及偶爾遇到驗證規則怪異的服務。一個安全建議只有在真實使用者能持續遵循時才有用。

最安全的起點是隨機性加上獨特性。隨機性指的是密碼值從一個大空間中由密碼學安全的隨機源選出，而非來自生日、寵物名、鍵盤模式或喜愛的名言。獨特性則表示同一個密碼不會在其他地方使用。一個長但重複使用的密碼可能在一次無關的資料外洩後迅速失效，而獨一無二的隨機密碼則將損害限制在單一帳戶內。

針對這個主題，一個實用的預設組合是獨一無二的隨機密碼加上獨立的第二因素。你可以使用電子郵件密碼產生器來應用這個預設，然後將最終值儲存在信任的密碼管理員中。PwdGen 在瀏覽器中透過 Web Crypto 在本機產生密碼；產生的密碼不會傳送到 PwdGen 伺服器。這種本機設計減少了伺服器端的暴露，但無法防範所有威脅。惡意的瀏覽器擴充功能、受感染的裝置、釣魚頁面或不安全的剪貼簿處理仍可能在密碼產生後將其暴露。

最常見的問題包括簡訊攔截、提示疲勞、弱復原電子郵件、不安全儲存的備份碼，以及啟用 MFA 後仍重複使用密碼。這些問題之所以重要，是因為攻擊者很少需要暴力破解所有可能的密碼，人類習慣往往給了他們捷徑。憑證填充、釣魚、外洩密碼清單和帳戶復原濫用通常比純數學搜尋更實際。這就是為什麼最佳建議結合了密碼品質與帳戶層級控制，例如 MFA、通行金鑰、復原碼儲存，以及定期檢查復原電子郵件或電話設定。

在應用建議時，請使用以下檢查清單：

• 盡可能使用應用程式、硬體或通行金鑰因素。
• 優先保護電子郵件。
• 安全儲存復原碼。
• 不要因為啟用 MFA 而降低密碼強度。

如果某個網站拒絕理想的設定，不要手動將密碼強行改為較弱的模式。一次只調整一個變數。如果符號被拒絕，保留大寫、小寫和數字，並增加長度。如果最大長度很低，使用允許的最大長度，並確保該值獨一無二。如果密碼必須大聲朗讀、列印或輸入到電視或路由器螢幕上，考慮排除容易混淆的字元，並增加長度以補償較小的字元集。

最後，請記住密碼建議的界線。強密碼是防禦的一層，而非保證。它無法讓釣魚頁面安全、修復惡意軟體，或補償服務端儲存憑證不當。有用的習慣是無聊但持久：產生獨一無二的值、安全儲存、保護復原路徑，並在懷疑暴露時迅速更換。

安全的下一步

閱讀本指南後，不要試圖一次修復所有問題，而是進行一次小型帳戶審計。挑選一個被接管後會造成最大麻煩的帳戶，確認其密碼獨一無二，並檢查復原電子郵件、復原電話、MFA 方法和備份碼儲存。如果該鏈條的任何部分薄弱，先改善該部分，再處理風險較低的帳戶。這個順序讓工作 manageable，並保護攻擊者最可能用作跳板的帳戶。對於 MFA 與強密碼，最好的結果是養成可重複的習慣：在本機產生、小心儲存、避免重複使用。

常見問題

MFA 能取代強密碼嗎？

不能。MFA 降低了帳戶被接管風險，但密碼仍應獨一無二且強固。

簡訊 MFA 足夠嗎？

簡訊比沒有 MFA 好，但驗證器應用程式、通行金鑰和安全金鑰通常更強大（若可用）。

我應該優先保護什麼？

優先保護電子郵件、密碼管理員、銀行、工作和雲端帳戶，因為它們可以解鎖其他服務。