當廠商都要說密碼該又臭又長,微軟卻告訴你:太亂的密碼根本沒用

當廠商都要說密碼該又臭又長,微軟卻告訴你:太亂的密碼根本沒用

從有網站開始,「密碼」這件事就一輩子一直困擾著我們。早期我們會用生日、電話號碼當成密碼,但之後很多專家告訴我們那樣的密碼並不安全,所以我們又改用一些單字、名字來當密碼,結果又有專家說採用暴力攻擊法可以在幾秒鐘就把我們的密碼破解,於是密碼越設越複雜,而我們也越來越記不住自己的密碼。

各個網站、軟體要求我們使用之前要先登入身份、驗證密碼。而且對於密碼都有一些基本的規則要求,以Windows為例,他的要求就是

  • 密碼長度至少為 6 個字元
  • 至少包含三種下列字元的組合:大寫字母、小寫字母、數字、符號 (標點符號)
  • 不要包含使用者的使用者名稱或畫面名稱

這些設定密碼的規則,都是針對想要入侵你的電腦的駭客而來的。不要包含使用者名稱、或是不要採用生日與電話號碼,都是因為這些是人們最常使用的密碼,也是駭客最先會猜測的密碼,幾乎不具備任何的密碼強度。這些的設定是有道理的。

當廠商都要說密碼該又臭又長,微軟卻告訴你:太亂的密碼根本沒用

沒有無法破解的密碼,只是時間的問題

不過,後來隨著電腦技術越來越進步,駭客開始使用「暴力攻擊法」。暴力攻擊法就是將所有密碼的可能組合一一嘗試,因此,只要時間夠,最終總能夠湊出你的密碼。

面臨暴力攻擊法的工具,一次可以猜測上百萬次甚至上億次的密碼組合,因此密碼就需要更高的強度才能抵抗(或是說拖延破解的時間),因此開始有各種理論,也有各種專家的建議,甚至有所謂的密碼產生器,用亂碼幫你設定出一組密碼,這種密碼你幾乎無法背下來。

不過,微軟的研究者發現,如果你使用這種高強度的密碼,所獲得的安全性,可能與中等強度的密碼是一樣的。

為什麼呢?

以暴力攻擊工具來說,駭客使用的工具有離線模式與線上模式兩種。線上模式,駭客則是使用與一般人要登入網站的相同入口,在那個網站上進行線上破解的動作。而這種線上模式,就會受到網站的登入次數以及其它防範攻擊的限制。

但是,另一種離線模式的做法是,駭客先竊取網站的密碼檔,然後就可以把這個密碼檔拿回來慢慢破解。對於這種模式的暴力攻擊,「時間」的問題就不存在了,對於駭客來說,百萬次暴力破解強度的密碼,與上千萬次暴力破解強度的密碼,破解難度的差別只在於幾個小時而已,最終密碼一樣會被破解。

舉例來說,以「tincan24」這個密碼來說,密碼強度為10的6次方(1M),但是這組密碼至少使用者記得起來。但如果為了增加密碼強度,換了一個密碼「7Qr&2M」它的密碼強度為10的14次方 (100T),但是你完全背不起來,兩組密碼何者對你比較好?

事實上,兩者在線上模式的情況下,都足以應付線上模式的破解工具。而在離線模式下,兩者都會被破解。等於說,為了沒有多大意義的動作,你建立了一個根本記不起來的密碼。

保存密碼的責任不該是使用者

延續前面的問題,如果密碼檔洩露了,是不是你的密碼就洩漏了、機密就外流了呢?事實上也不是這樣。

如果密碼檔洩露了,網站及早發現,及早發出警告,甚至強迫使用者更換密碼,那麼你的機密依然是安全的,離線暴力攻擊法依然對你的資料沒有任何威脅。

甚至,如果密碼檔洩露了,假設網站方沒有及早發現,但是網站架構上有對密碼檔利用金鑰進行加密,駭客也不見得能破解金鑰。怕就怕網站並沒有對使用者的密碼檔本身有任何的保護,甚至直接以明文保存,這時如果密碼檔洩露了,駭客根本就不需要破解,直接就能得知所有使用者的密碼。

當廠商都要說密碼該又臭又長,微軟卻告訴你:太亂的密碼根本沒用

這時你可以瞭解到,不管你密碼設的再強,如果網站方根本就對保存你的密碼這件事情不加重視的話,你就算真的設成「7Qr&2M」,也完全沒用。

這時就有一個問題了,那麼,為什麼廠商還要建議你設立「7Qr&2M」這一類的密碼?

事實上,這是網站或是廠商試圖把密碼保管的責任推卸到使用者的一種做法。要讓使用者透過設定一連串複雜而難記的密碼,去解決暴力攻擊法的問題是不切實際的。只有從網站的架構或是應用程式端,真正做到防止密碼檔洩露,並對密碼檔加密保護,才是根本的做法。

 

資料:

An Administrator’s Guide to Internet Password Research

Brute-force Attacks: Crossing the Online-Offline Password Chasm

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
幽理之刻
1.  幽理之刻 (發表於 2015年5月11日 15:58)
本篇文章的中文內文只有說,微軟研究者發現,又臭又長的密碼增加一點點的破解難度,沒有寫微軟公司:「太亂的密碼根本沒用」
標題跟內文不符合...
還有你也跟一般媒體一樣,把研究報告/論文的結果直接進行解讀...
t9Dx71s
2.  t9Dx71s (發表於 2015年5月11日 17:56)
密碼該又臭又長? 100%正確
設定密碼時
長度才是重點
長度才是重點
長度才是重點

文中7Qr&2M才6碼是來搞笑嗎?
用intel密碼強度測是只要5秒就破了
但如果改成7Qr&2M8Qr&3M9Qr&4M
18碼想用暴力破解至少就要5億年才能達成

重點 標題不要亂下誤導
Shinwill
1人給推

3.  Shinwill (發表於 2015年5月12日 01:24)
我直接公布我家 Wi-Fi 密碼吧
這是我本身可以記得住的密碼
如果找得到我家可以來連沒關係

lehb9i8gk5s2frxnm6cv
附中
4.  附中 (發表於 2015年5月12日 16:15)
t9Dx71s 長度跟可用字元都有很大的差異唷~~

tincan24 這看起來只用小寫 + 數字 = 36種可能性
7Qr&2M 看來用到了大小寫 + 數字 + 特殊字元 = 85種以上的可能性

再來是人的記憶 一般人能記住6-8個無意義的組合就不錯了 〒ˍ〒 10碼以上根本就超神 (≧▽≦)

所以密碼很難要求使用者增加長度 因為根本記不得咩 XD
Winters
5.  Winters (發表於 2015年5月13日 07:11)
單一密碼只要時間久了,就算複雜點總是記得住,重點是每個網站登入的密碼是不是不一樣,只要每個網站密碼不一樣,就不用擔心伺服器密碼檔被駭連帶影響到其它帳號

這裡就有教人如何設定每個網站不一樣,長又亂但又不會忘記密碼的技巧,強調密碼該記的是規則而不是密碼本身,只要記好規則,就算每個網站的密碼不一樣,也等於只記一組密碼而以,就算辨公室每隔一段時間就要改一次密碼也適用

http://alittlepro.com/522/how-to-create-a-safity-rememberable-and-different-password-for-every-single-login/
流境
6.  流境 (發表於 2015年5月21日 20:02)
※ 引述《t9Dx71s》的留言:
> 密碼該又臭又長? 100%正確
> 設定密碼時
> 長度才是重點
> 長度才是重點
> 長度才是重點
>
> 文中7Qr&2M才6碼是來搞笑嗎?
> 用intel密碼強度測是只要5秒就破了
> 但如果改成7Qr&2M8Qr&3M9Qr&4M
> 18碼想用暴力破解至少就要5億年才能達成
>
> 重點 標題不要亂下誤導

那NASA是怎麼破解的?
哪可能像你說的那麼堅不可摧
發表回應
謹慎發言,尊重彼此。按此展開留言規則