美媒實測：駭客在1小時內可破解上萬組密碼

美國科技網站Ars Technica最近邀請3名駭客進行密碼破解的實驗，以了解已加密密碼的安全性，然而，實驗發現，就算外洩的密碼不是明碼文字，而是以加密的雜湊（hash）碼形式呈現，這些駭客仍能在1小時內破解逾1萬筆密碼，其中還包含長達16字元、夾雜英文與數字的密碼。

Ars Technica是從網路上下載約1.65萬組的加密密碼，並邀請來自Stricture Consulting Group的密碼專家Jeremi Gosney、來自oclHashcat-plus的開發人員Jens Steube，以及代號為radix的駭客進行破解密碼的實驗。

為了保障使用者的安全，有不少網站於伺服器端儲存的是已加密的雜湊密碼，例如實際為arstechnica的密碼會變成c915e95033e8c69ada58eb784a98b2ed，當使用者在登入時輸入的仍是arstechnica，但網站會將其加密並與伺服器端儲存的密碼進行比對。

不過，Ars Technica實驗發現，Steube與radix在一小時內分別破解了82%與62%的密碼組，Gosney則花了20個小時破解了9成的密碼，在一小時內就被破解的密碼中，還包含像是qeadzcwrsfxv1331等長度多達16字元的密碼。

這些駭客利用字典及蠻力破解法（brute-force crack），從破解順序可發現，愈短的密碼愈容易破解、單純使用文字或數字的密碼也愈容易破解、只使用字典中的詞彙也很容易破解。

除了上述專家外，沒有技術背景的Ars Technica副主編Nate Anderson也加入了這項實驗，他在5月的某天早上才學會如何破解密碼，但當天就破解了8000組，他說，即使他知道破解密碼不難，但沒想到竟是如此容易。他只是上網下載了用來破解的加密密碼，下載了密碼破解器、找到生字資料庫，然後就成功了。

從Ars Technica的實驗看來，不論網站儲存使用者密碼時是採用清楚的文字或是加密的雜湊碼，一旦外洩，便很難保障使用者的帳戶安全，不過，近來業者已開始推動以生物辨識取代密碼輸入，Google亦正在研究如何以實體裝置來取代密碼。（編譯/陳曉莉）