从有网站开始,“密码”这件事就一辈子困扰着我们。早期我们会用生日、电话号码当成密码,但之后很多专家告诉我们那样的密码并不安全,所以我们又改用一些单字、名字来当密码,结果又有专家说采用暴力攻击法可以在几秒钟就把我们的密码破解,于是密码越设越复杂,而我们也越来越记不住自己的密码。
各个网站、软件要求我们使用之前要先登入身份、验证密码。而且对于密码都有一些基本的规则要求,以 Windows 为例,它的要求就是:
- 密码长度至少为 6 个字元
- 至少包含三种下列字元的组合:大写字母、小写字母、数字、符号(标点符号)
- 不要包含使用者的使用者名称或画面名称
这些设定密码的规则,都是针对想要入侵你的电脑的骇客而来的。不要包含使用者名称、或是不要采用生日与电话号码,都是因为这些是人们最常使用的密码,也是骇客最先会猜测的密码,几乎不具备任何的密码强度。这些的设定是有道理的。
没有无法破解的密码,只是时间的问题
不过,后来随着电脑技术越来越进步,骇客开始使用“暴力攻击法”。暴力攻击法就是将所有密码的可能组合一一尝试,因此,只要时间够,最终总能够凑出你的密码。
面临暴力攻击法的工具,一次可以猜测上百万次甚至上亿次的密码组合,因此密码就需要更高的强度才能抵抗(或是说拖延破解的时间),因此开始有各种理论,也有各种专家的建议,甚至有所谓的密码产生器,用乱码帮你设定出一组密码,这种密码你几乎无法背下来。
不过,微软的研究者发现,如果你使用这种高强度的密码,所获得的安全性,可能与中等强度的密码是一样的。
为什么呢?
以暴力攻击工具来说,骇客使用的工具有离线模式与线上模式两种。线上模式,骇客则是使用与一般人要登入网站的相同入口,在那个网站上进行线上破解的动作。而这种线上模式,就会受到网站的登入次数以及其它防范攻击的限制。
但是,另一种离线模式的做法是,骇客先窃取网站的密码档,然后就可以把这个密码档拿回来慢慢破解。对于这种模式的暴力攻击,“时间”的问题就不存在了,对于骇客来说,百万次暴力破解强度的密码,与上千万次暴力破解强度的密码,破解难度的差别只在于几个小时而已,最终密码一样会被破解。
举例来说,以“tincan24”这个密码来说,密码强度为 106(1M),但是这组密码至少使用者记得起来。但如果为了增加密码强度,换了一个密码“7Qr&2M”它的密码强度为1014(100T),但是你完全背不起来,两组密码何者对你比较好?
事实上,两者在线上模式的情况下,都足以应付线上模式的破解工具。而在离线模式下,两者都会被破解。等于说,为了没有多大意义的动作,你建立了一个根本记不起来的密码。
保存密码的责任不该是使用者
延续前面的问题,如果密码档泄露了,是不是你的密码就泄漏了、机密就外流了呢?事实上也不是这样。
如果密码档泄露了,网站及早发现、及早发出警告,甚至强迫使用者更换密码,那么你的机密依然是安全的,离线暴力攻击法依然对你的资料没有任何威胁。
甚至,如果密码档泄露了,假设网站方没有及早发现,但是网站架构上有对密码档利用金钥进行加密,骇客也不见得能破解金钥。怕就怕网站并没有对使用者的密码档本身有任何的保护,甚至直接以明文保存,这时如果密码档泄露了,骇客根本就不需要破解,直接就能得知所有使用者的密码。
这时你可以了解到,不管你密码设得再强,如果网站方根本就对保存你的密码这件事情不加重视的话,你就算真的设成“7Qr&2M”,也完全没用。
这时就有一个问题了,那么,为什么厂商还要建议你设立“7Qr&2M”这一类的密码?
事实上,这是网站或是厂商试图把密码保管的责任推卸到使用者的一种做法。要让使用者透过设定一连串复杂而难记的密码,去解决暴力攻击法的问题是不切实际的。只有从网站的架构或是应用程序端,真正做到防止密码档泄露,并对密码档加密保护,才是根本的做法。
- An Administrator’s Guide to Internet Password Research
- Brute-force Attacks: Crossing the Online-Offline Password Chasm
(本文由 T客邦 授权转载;首图来源:Flickr/Matthew Oliphant CC BY 2.0)
