密碼,是很多網站或是安全保護有關的重要通關密語,而密碼設定的規則,卻是一個令人矛盾的地方,因為要好記,使用者可能會在所有地方用相同的密碼,或是使用簡單的變化,但這些都可以被歸納出規則。而這次資安大會的議程中,奧義科技的ML Team軟體架構師楊政霖表示,只要是可以找到規則的密碼,都屬於弱密碼。

何謂弱密碼?就是很容易被有心人士猜測進而破解身分驗證的密碼,如駭客會利用密碼噴灑手法嘗試所有可能組合的弱密碼,以達成目的。而關於弱密碼,楊政霖提到,很多人認為是不是將密碼增加padding(填充字串),或是用常用的詞語組合起來,就可以提昇密碼強度。然而,這還是可以被歸納出規則,因此,楊政霖以6種等級為例來說明,是以一定時間裡,在Hash值中算出最多的密碼組數,將使用者密碼作為分級,首先,第1級的是帶有英文數字的編號,如身分證字號、學號、手機號碼、車號等,其中身份證字號的使用率,常見在50歲以上的臺灣使用者。

第2級是以常用的英文名字或ID加上數字、大小寫或變換順序,因為臺灣人的英文名字重複率非常高,駭客也容易在網路上得到英文姓名的清單。ID部分則是駭客透過持續嘗試累積ID名單。而數字方面,有生日、連續數字或是手機號碼做為變化的組合元素之一。

接著是第3級,以PTT的ID加上數字做變形,但駭客其實很容易取得PTT的ID,如果繼續嘗試一樣可以破解。

而第4級,則是屬於臺灣使用者的一種特殊習慣,大家喜歡將感情史融入密碼中,譬如自己與誰的愛恨情仇,楊政霖表示,這是在研究中臺灣使用者很常見的規則,而這樣的規則,其實是讓人有重設密碼的機會,因為只要有人知道了片段關係,甚至就可以回答出安全提示所設的題目,如您的初戀情人的名字。

接著,第5級是各類中文輸入法,根據教育部的全民資通安全素養推廣計畫,建議可以用中文輸入法作為密碼,但這其實在駭客取得用字列表,搭配可能的組合,反而是更快會被破解。

再來的第6級則是進階的變形,楊政霖統計出有70%的使用者會將首個英文字母設為大寫,或有些是將舊密碼或ID重複達到系統的規定,而在這過程中,他也觀察出一些有趣的組合,像是狀聲詞加上一個名字或ID,或是用中文輸入法將私人恩怨設定為密碼。

最後,楊政霖表示,如果要夠亂又夠強的好密碼,就會不好記,因此他建議可以使用密碼管理(password manager),以提升密碼的複雜度。而他也提到密碼的保護方法,可以利用雙因素驗證(Two-factor authentication,2FA)服務。


熱門新聞

Advertisement