什麼是弱密碼?
弱密碼就是容易被暴力破解或是容易被猜出的密碼,密碼暴力破解指的是用機器快速重複地嘗試不同的密碼登入,而容易被猜出的密碼簡單可以被歸為幾類:
- 用自己的個人資訊,包括生日、電話、身分證號碼,住址。
- 用簡單的密碼,如鍵盤排列1qaz@WSX,英文單字welcome,一串數字123456等。
- 用外觀相似的替換符號,如簡單英文變化:I->1,O->0,a->@,例如p@ssw0rd就屬這一類。
- 密碼和登入帳戶有大部分相同,所以一個帳密被破解等於多個系統受害。
- 工作用密碼和工作相關,如”馬偕”對應”a83ru,”,就是注音對應英文弱密碼。
常見的弱密碼
在科技時代,手機、電腦內都有很多我們重要的資訊,一旦密碼被盜用駭進電腦內,可能會後患無窮。nationaltoday網站就曾分享了5組駭客不到1秒就可破解的弱密碼:
- 123456:不只全球,台灣人應該也很常用的一組弱密碼,破解時間不到一秒,研究統計被使用了 350 萬次。另外,同類型的「12345」、「1234567」、「123456789」、「654321」也是台灣使用比例極高的弱密碼。
- Password:就是密碼的英文,懶得設密碼直接複製貼上旁邊的文字,被使用了170 萬次。
- abc123:感覺是個毫不用動腦的英數混合密碼組合, 被設定了61萬次使用。
- Qwerty:這密碼很多人都有設定過吧!數字鍵下一排的6個字母, 38.2萬次使用。其實另一個「1234qwer」相信也不少人使用過。
- 11111:看到5個1,就會想問怎沒有4個0、4個8呢?被使用36.9萬次。
密碼不用複雜,只要簡單好記、夠長就好
還記得當初提倡要大家將密碼改得越難越好的說法嗎?例如加入特殊符號、字母大小寫、數字混和的亂碼,但近期的研究顯示,這麼做也不會讓駭客破解的難易度增加,而且用戶還很難記住這些密碼。
根據美國國家標準技術研究所 (National Institution of Standards and Technology, NIST) 的研究,打破了一項觀念,就是「密碼不用太複雜」,只要夠簡單、夠長、夠好記就可以了,而且密碼長度越長越好。
這裡指的簡單並不是說隨便給一個「apple」、「banana」的單字就好,不,NIST 的意思是要大家能夠想一個只有自己知道的句子或單字組合就好了,NIST 的高級標準和技術顧問保羅 (PaulGrassi) 表示,「只要用戶能夠想到這樣的組合,基本上這就是一組獨一無二的密碼。」此外,密碼越長,相對來說就更難被駭客入侵,相信這已經是基本常識了。但以往因為大家都被要求要設計一套「複雜」的密碼,因此,普遍來說並不會將密碼設定太長 (以免記不住…)。
NIST 的主張,其實簡單來說,就是利用簡單的組合、好記憶、長度來增加密碼的強度,這裡舉例說明一下,比如說用戶可以想一段話:「你好嗎?我很好,謝謝,你呢?」,然後直接將密碼設成「areyouokfinethankyouandyou」這樣的用語,來幫助自己記憶,這樣的密碼組合對用戶來說夠簡單、好記憶,而在資料保護層面,密碼長度夠長,所以強度也夠。
當然,上面的句子只是用來舉例,大家可以根據這樣的方向去思考,找出一個屬於自己的「簡單密碼」組合,獨一無二的密碼就是最強的密碼,不管它有多長。(若有網友真的因為上述句子當作密碼結果被盜,恕不負責!)
另外,某些系統可能有每 90 天就會有換密碼的要求,但保羅也表示:「我很確定你在做這個動作時,只是把其中的幾個字母換掉、或是重新擺一下順序而已。這件事情你知道、我知道,駭客也知道,所以老實說,這麼做的效果並不大。」
以這樣的邏輯來看,或許 NIST 的新提倡真的會對民眾帳戶、個資有幫助,如果每個人都可以找到一個只有自己知道 (或只有自己懂) 的密碼組合,那基本上,駭客其實很難找到破解的邏輯,畢竟每個人在想的東西都不一樣。
參考資料來源: