烏克蘭軍隊密碼係123456 容易記唔係問題 最危險反而係…
最近網傳一件讓人無語的事:據烏克蘭獨立新聞社披露,烏克蘭武裝部隊的「第聶伯羅」軍隊自動化控制系統的伺服器密碼是「123456」,用戶名更是默認的「admin」。
這事是真是假暫且不說,生活中隨便起密碼(甚至不改預設密碼)的人,還真不在少數。不過,別急著嘲笑別人,即使你精心編織了一條連你自己都打不對第二遍的複雜密碼,就真的是安全的嗎?
作者:D-Horse 編輯:李小葵
下載「香港01」App ,即睇城中熱話:https://hk01.app.link/qIZYuEC5LO
美國國家安全局(NSA)為了破譯恐怖組織的密碼,斥鉅資建造了一台可以破解一切密碼的機器:萬能解密機。這是美國作家丹布朗在其小說《數字城堡》(Digital Fortress,港譯「數位密碼」)中虛構的情節。以人類今日之科技實力,打造這樣一台無堅不摧的「神器」還只是個遙遠的夢想,但如何在網路社會中保護自己的個人隱私一直是個現實的問題。20多年來,現代人已經掌握了「數字城堡」——密碼的構造方法,自認為可以高枕無憂,但事實遠非如此。
越複雜的密碼越安全嗎?
人們通常認為,把密碼設得越複雜,別人就越難猜到,但這樣一來無疑增加了記憶的難度。而對於那些企圖窺探你秘密的人來說,他們也只是想不到,而非「猜不到」。如今,還有幾個人破譯密碼是靠大腦「猜」的呢?
【圖解】為什麼密碼愈難記反而愈易破解↓↓↓
經過二十年的努力,我們成功地陷入一個誤區,那就是把密碼設的越來越難以記憶,然而卻被電腦很輕鬆地就破解出來了。
保證密碼強度的關鍵
那保證密碼強度的關鍵到底是什麼呢?其實,上面的漫畫已經給出了答案:密碼長度。這裡引入資訊學中的資訊熵(我們常聽人說這個資訊多、那個資訊少,對資訊「多少」的量化就是資訊熵),用它來作為密碼強度的評估標準。資訊熵計算公式為 H = L * log 2 N,其中,L表示密碼的長度,N的取值見下表:
從上面的公式和表中,我們可以看到,密碼強度(H)與密碼長度(L)和密碼包含字元的種類(N)這兩個因素有關,然而它們對密碼強度的影響是呈指數倍的關係。
舉個例子,假設密碼長度的單位為比特(bit),8個比特即為一個位元組(即輸入密碼時的一個字元,一個位元組可以代表256個不同字元),如果某台超級電腦的計算能力為每秒能完成256次組合運算,破解8個字元組成的密碼僅需4分16秒。當密碼長度達到16個字元的時候,暴力破解它需要 149,745,258,842,898年!要知道太陽的壽命也只有約10,000,000,000年。
更大的風險:萬能鑰匙
在現實生活中,我們都選擇「一把鑰匙開一扇門」,誰都不會希望有一把鑰匙既能用來開家門,也能用來開車門、公司的門、宿舍的門,因為這把「萬能鑰匙」一旦丟失,損失將是慘重的。隨著網路社會的發展,如今大多數人都握有十多個網站的帳號,你是繼續選擇「一把鑰匙開一扇門」的策略,還是改用「萬能鑰匙」的策略呢?如果是前者,那麼無疑將增加你的記憶負荷,如果是後者,安全隱患是顯而易見的。
【圖解】萬能鑰匙風險有多大↓↓↓
而要說的是,許多人都意識到了這點,並且為了避免這種情況,相當一部分人選擇將密碼分為兩部分,一個主要部分(比如是123456),另一部分則根據帳戶而定:比如QQ的密碼就設為qq123456,而hotmail的密碼則是hotmail123456等等。但如此直白的設置,頗有掩耳盜鈴的味道,一旦一個帳戶失竊,看穿這個規律,也不過一秒的事情而已。
與駭客的博弈
為了規避上述種種風險,大家開始設定許多個又長又複雜的密碼,但複雜的長密碼並不容易記住,更何況是要記住好幾個這樣的密碼(請問有誰沒有忘記過密碼呢)。在經歷了多次遺忘密碼的痛苦之後,人們又開始傾向性地選擇那些容易讓自己記住的資訊作為自己的密碼,比如自己或親人的姓名、生日、電話號碼等等——但這恰恰把安全隱患留給了躲在暗處的駭客。
有人對使用者的密碼做過統計,研究他們設置密碼時的偏好,並將統計結果繪製成圖:61% 的用戶喜歡使用人名、地名、字典詞彙和純數位來設置他們的密碼,甚至還有2.6%的用戶直接把他們的用戶名當做密碼使用(比如把 guokr123@...的密碼直接設置為guokr123)。
來看看對Sony公司的使用者密碼做過研究調查,結果令人堪憂:
這些都是具有安全隱患的密碼設置策略!駭客們了解使用者的密碼設置習慣後,就可以編寫「密碼詞典」,有了它,就能在暴力破解的時候大大提高精準性。
造個高明密碼
有網站如1PASSWORD給出了新的策略:它相當於為你提供了一個帶鎖的記事本,可以讓你把所有的密碼記在這個記事本上,你只需保留開鎖的鑰匙/密碼即可。撇開這個網站的靠譜程度不談,單單為了這樣一個記事本,你就要付出40美元(約314港元)的代價。同時請別忘了,它僅僅為你解決了記憶密碼的問題,還是沒有逃開設置密碼這個更加頭痛的問題。
那如何設定一個靠譜的密碼?
用統一規則記住多個不同密碼是個不錯的選擇,畢竟記住一個規則比記住一串雜亂無序的字元要容易多了,也可以實現「一把鑰匙開一扇門」的策略。在這裡舉個例子,給出一個簡單的密碼設置規則(以電子信箱為例):
規則:
[密碼] = 2 *([用戶名識別字(小寫/大寫)] + [用戶名長度] + [.] + [網站識別字(大寫/小寫)])
實例:
123@guokr.com,密碼為:gk8.GMGK8.gm
guokr@hotmail.com, 密碼為:ssh10.HTSSH10.ht
但是,真的安全了麼?
所以還請讀者記住的就是,一個優秀的密碼可以盡可能地降低風險,但它不能將風險降為零。
參考資料:
[1] I’m sorry, but were you actually trying to remember your comical passwords?
[2] The science of password selection
[3] A brief Sony password analysis
【本文來源於果壳網(微信公眾號:Guokr42),禁止二次轉載,如需轉載請聯繫sns@guokr.com。】