2013-05-30 08:50:59 陳曉莉回應
Ars Technica實驗發現,1.65萬組的加密密碼Steube與radix在一小時內分別破解了82%與62%的密碼組,Gosney則花了20個小時破解了9成的密碼,在一小時內就被破解的密碼中,還包含像是qeadzcwrsfxv1331等長度多達16字元的密碼。
美國科技網站Ars Technica最近邀請3名駭客進行密碼破解的實驗,以了解已加密密碼的安全性,然而,實驗發現,就算外洩的密碼不是明碼文字,而是以加密的雜湊(hash)碼形式呈現,這些駭客仍能在1小時內破解逾1萬筆密碼,其中還包含長達16字元、夾雜英文與數字的密碼。
Ars Technica是從網路上下載約1.65萬組的加密密碼,並邀請來自Stricture Consulting Group的密碼專家Jeremi Gosney、來自oclHashcat-plus的開發人員Jens Steube,以及代號為radix的駭客進行破解密碼的實驗。
為了保障使用者的安全,有不少網站於伺服器端儲存的是已加密的雜湊密碼,例如實際為arstechnica的密碼會變成c915e95033e8c69ada58eb784a98b2ed,當使用者在登入時輸入的仍是arstechnica,但網站會將其加密並與伺服器端儲存的密碼進行比對。
不過,Ars Technica實驗發現,Steube與radix在一小時內分別破解了82%與62%的密碼組,Gosney則花了20個小時破解了9成的密碼,在一小時內就被破解的密碼中,還包含像是qeadzcwrsfxv1331等長度多達16字元的密碼。
這些駭客利用字典及蠻力破解法(brute-force crack),從破解順序可發現,愈短的密碼愈容易破解、單純使用文字或數字的密碼也愈容易破解、只使用字典中的詞彙也很容易破解。
除了上述專家外,沒有技術背景的Ars Technica副主編Nate Anderson也加入了這項實驗,他在5月的某天早上才學會如何破解密碼,但當天就破解了8000組,他說,即使他知道破解密碼不難,但沒想到竟是如此容易。他只是上網下載了用來破解的加密密碼,下載了密碼破解器、找到生字資料庫,然後就成功了。
從Ars Technica的實驗看來,不論網站儲存使用者密碼時是採用清楚的文字或是加密的雜湊碼,一旦外洩,便很難保障使用者的帳戶安全,不過,近來業者已開始推動以生物辨識取代密碼輸入,Google亦正在研究如何以實體裝置來取代密碼。
本文出處:http://www.ithome.com.tw/itadm/article.php?c=80636
------------------------------
不要太相信密碼
重要的東西最好別放在網路上
|
