強度密碼! 你以為這樣很安全嗎?
(圖/取自網路)
什麼是好密碼?幾乎每一個網站都給出了差不多一樣的標準:
長度得 8 位以上;需含大小寫字母、數位及符號;不要用任何出現在字典裡面的詞。
只要你的密碼滿足了這些標準,基本上網站都會獎勵你一個綠色的強式密碼標示—好密碼。但是實際上你和網站都錯了。為什麼?原因首先要從密碼是如何被破解講起。
駭客如何破解密碼
網站是通過比對輸入的密碼與資料庫中的密碼來驗證使用者的。但是一般這些密碼都不是以明文的方式存放,而是用雜湊演算法對保存的密碼進行單向加密,輸出的結果是無法逆向工程出來的。比方說「123456」經過 SHA-1 雜湊演算法得出的結果是 7110eda4d09e062aa5e4a390b0a572ac0d2c0220,通過這個結果是無法知道原始密碼的。
然後使用者登錄時輸入的密碼也會被利用同樣的雜湊演算法計算出雜湊值,再與存放在資料庫中的正確密碼雜湊值比對,一致則說明輸入密碼正確。
拿到雜湊密碼檔的駭客可利用暴力破解法比對哪個帳號與哪個密碼相關。他們可以從簡單一點的密碼開始,這些密碼可以從之前的攻擊字典庫查找,也可以從一般的字典上查找,然後進行單詞組合。
現在的計算能力已經非常強大,用普通電腦結合顯卡陣列的 GPU 能力,暴力破解法每秒鐘可處理 10 億到千億用 SHA-1 演算法加密的密碼。不過儘管如此,如果密碼有 11、12 位或以上,並且完全是在所有可能的字元中隨機生成出來的話,哪怕有這麼強大的計算能力暴力破解法也是很難破解的。
但問題是大部分人都不是用隨機生成的密碼的。當然,大家不用隨機密碼也是有原因的,因為隨機密碼難記。可麻煩就麻煩在這裡,因為那些「好密碼」規則已經被駭客熟知。
建議用戶採用所謂的「快速寫詞」法來設置密碼,即用幾個單詞來組織成一個故事,從而構成密碼組合。比方說,跑步時踩到一隻松鼠,可以快速記憶為「running forest squirrel」。這種辦法因為有故事情節所以方便記憶,但是由於所用字元數通常超過了 10 到 12 個,暴力破解法是很難破解的,除非破解者採用單詞組合等其他技術。但是單詞組合的可能性近乎無限,對於暴力破解來說差不多是無解的。
不過密碼專家認為,相對於僅僅在密碼設置上下功夫,更好的辦法是廣泛採用雙因數認證的方式來確保安全,這樣不安全的密碼就不會成為抵禦攻擊的唯一屏障了。
【101創業大小事/整理報導】
免責聲明:
部分圖片、觀點,來源於網際網路及其他網路平台,主要目的在於分享訊息,讓更多人獲得需要的資訊,其版權歸原作者所有。如涉及侵權請告知,我們會在24小時內刪除相關內容。
- 日月光集團主管尾牙 高雄中壢廠全面調薪2018-01-20
- 美麗華高球場資遣員工 副總「人事費用過高」2018-01-12
- 氣球冠軍響應新南向 結夥赴新馬發展2018-01-12
- 要健康!全民瘋運動 Synctech國際資本跨兩岸與陸資合作2018-01-10
- 墾丁泊逸酒店歇業 員工薪資獲保障2018-01-05
- 洪政群放棄教職工作,投入環保業,開設資源回收站。圖取自網路2017-11-27
- 芝加哥蘋果旗艦店 玻璃屋設計吸睛2017-10-21