▲防臉書遭盜,經常更改密碼最保險。
國際中心/綜合報導
科技網站透過實驗證明,就算是長達16個任意字元所組成的密碼,駭客也能在不到1小時內成功破解;網站建議,密碼還是越長越好,且11字元以上的比較安全。
科技網站Ars Technica從列有1萬6449個密碼的清單當中,破解超過1萬4800組密碼,3名駭客聯手替網站進行這項實驗,成功率為62%到90%,連「qeadzcwrsfxv1331」這種組合也被破解。這3名駭客也公布他們如何破解密碼和破解密碼的傳統手法。(右圖/不用改帳號密碼,Outlook保留過去資料。)
駭客要猜測密碼時,不是重複在網站上輸入密碼,而是透過網路上取得所謂的「雜湊密碼」(hashed passwords)清單以破解密碼。
「雜湊」是讓使用者加密前的密碼,透過不可逆演算法產出由數字和字母組成的獨特字串,這樣駭客難以從加密後字串推回到原本的密碼,網站儲存時也是儲存雜湊密碼以加強安全。假使雜湊密碼清單遭竊取,有心人士也難以破解原本的密碼,不過網站實驗證實,這非毫無可能。
其中一名駭客、Stricture Consulting Group的創辦人與執行長葛斯尼(Jeremi Gosney)透過密碼破解手法,解出1萬多組密碼。一開始,葛斯尼用「暴力破解法」(Brute-force Attack)破解1到6字元的密碼,他透過這種方法,在2分鐘32秒內找出1316組加密前的密碼,再以相同方法找出1618組7或8字元的密碼。(右圖/4字懶人密碼,破解機率1/24。)
第二種破解法是除了暴力破解法之外,再加上「字典攻擊法」(dictionary attack),成為混和式攻擊法,葛斯尼在5小時又28分鐘內,破解共1萬2935組密碼。
根據這項駭客實驗,以8字元以下真實詞彙組成的密碼相當容易被破解。Ars Technica建議,為了安全,最好直接用11字元以上的密碼。Ars Technica說,「讀者應要花時間確定所有密碼最少都是11字元,包含大小寫字母和數字,最好也不要長得像某種模式。」(新聞來源:中央社)
讀者迴響