为了省掉麻烦,你会不会用一个密码走天下?还是每个平台都有不同的账号密码?
(图:网络照片)
每当要登记新账号时,一般人不会花太多心思在设计密码,索性用回电邮密码或其他容易记得的密码。去年,美国密码管理公司Keeper Security和SplashData各别公布最容易破解的密码排行榜,结果超简单的“123456”稳坐榜首,其他榜中成员还包括“password”、“qwerty”、“123123”等等。
不过,许多网页或应用程式为了方便用户,允许用户用脸书、Gmail、微博账号登记。大多数人会毫不思索就点击这些选项,用一个账号管理所有的资料。然而这个做法无疑提高了资料外泄的风险。
冯宗福:“8字真言”击退骇客
容易记住难以破解
“懒惰”、“容易忘记”、“方便管理”,当你在设计密码,这些念头是不是也曾浮现在你脑海中?设想密码时,会不会也将生日号码或名字的英文字母串成密码,以免忘记而得费时间重设密码。有些人则直接把用户名字倒转成为密码,例如“cyberworld”变成“worldcyber”。再不然,共用一个密码,但只在密码后面置放网站名称缩写,例如淘宝网站就用“cyberworld2018tb”,脸书就放“cyberworld2018fb”等。
部份网站为了保障用户资料安全,会要求设置密码必须拥有大小写英文字母、符号和数字。偶尔还会在密码栏目下附上强度测试,以提醒用户密码不要设得“太弱”,不让人猜中破解。有部份网站论坛系统只允许用数字或大小写英文字母串成密码,而禁止特定符号如“%”、“#”和“/”等等。
“当网站系统的伸缩性越高,安全性就很低。例如网站只给用户使用数字密码,越方便反而提高被骇的风险。”网络安全及渗透测试服务专家LE全球服务公司(LGMS)创办人冯宗福建议,设置密码时得遵守两个重点——容易记住,难以破解。
句子变成密码
“我将这两个重点变成“八字真言”。‘容易记住’的诀窍是禁止使用字典上会找到的单词,而是将一个句子变成密码。以“我爱苹果汁”(iloveapplejuice)为例。这两个密码全部小写,没有加上任何符号。虽然密码很长,但骇客还是可以运用程式破解,只是需要更长的时间。
“第二个条件是‘难以破解’。即密码夹杂大小写、符号或数字,增加密码难度。我这里通过网上两个小工具去测试‘iloveapplejuice’的强度,其中一个显示要1000年才能破解,另一个是指密码强度只有16%。由于全都是英文小写,充其量是密码有长度,但不复杂。当我把这组密码变成‘IL0v3APpL3Ju!c3’时,前者显示要160亿年,后者指这个密码强度是100%,换言之是难破的密码。”
冯宗福说:“如果你把英文的a、e、i换成数字或符号,这样会增加难度。破解密码的意思是,我要从000000或aaaaaa去猜你的密码。如果相互交叠了英文字母、大小写、符号、数字,就会很难了。”
冯宗福建议,设置密码时得遵守两个重点——容易记住,难以破解。
密码最少要14位数
据英国媒体报道,骇客如果采用“brute force”攻击,只需一秒能动用800万个词组去破解一个人的密码。如果密码太短很快就会被攻破。骇客另一个惯用的手法是“字典攻击”(dictionaryattacks)。他们本身会有一个“字典”,里面收纳了数百万甚至千万曾被外泄的密码。在破解密码时,他们就启动“字典”,如果密码里面有英文单词或英文名字,不用几秒就破解了。
在暗网,有很多骇客会贩售或分享他们在寻获的外泄密码。骇客们只需更新自己的“字典”,就可以增加破解密码的成功率。
针对手机密码,冯宗福说,骇客还是可以破解PIN和Pattern密码。目前生物识别密码对比传统密码是比较保险。因为每个人的指纹、虹膜、人脸都不同,可说是专属的密码。然而没有人可以担保,骇客会否有一天破解生物辨识技术。
密码长度非常重要
网络安全公司Alert Logic的技术总监Richard Cassidy曾建议,密码最好有14个字元,因为骇客得尝试811兆次才能破解。他认为,密码长度比复杂程度来得重要。
句子越长,难度越高,骇客可能会先放弃,寻找更容易下手的受害者。若记忆力惊人,能够记得“iloveapplejuice”、“watermelonismyfavorite”、“billieieanisnotmylover”等密码,那就非常好。最差的密码是可以在字典找到的单词,举例像“admin”、“loginpassword”、“computer”等词汇。“如果骇客‘字典’有四百多万组密码,只需20秒就全数扫描完毕。
如果是单词密码不到一秒就解开了。”冯宗福说,经过多年累积,他们也组建了自己的“字典”,甚至收纳其他国家语言的密码,如意大利、德国等,因为各别国家用户都有特定词组模式的密码。
他透露,一些系统是可以只支援中文密码,但大部份人没有用。“其实中文密码更难骇。”然而,有些系统有些弱点,不接受Unicode编码,即英文以外的字元,如中文、韩文、日文等。用户不妨用拼音去对应自己的密码。比方“管理员”变成“guan1li7yuan3”。配合上述所提及的“八字真言”,再改造成“
Gu@N
!Li7¥uAN3”。
那么用表情包(emoji)取代密码是否可行?这并非天方夜谭,英国的银行软件开发公司Intelligent Environments在2015年曾倡议,开发emoji密码系统,利用44个emoji表情可以组成349万8千308个组合。对于冯宗福而言,他认为emoji符号背后的Unicode没有标准化,在不同的平台,同样的符号会显示不同的Unicode。“在WhatsApp可能是这组Unicode,但是在Viber或微信是不同的。”
有些网页系统不允许用特殊符号作为密码。
你是机器人吗?
登入网站时,偶尔会出现人机验证(captcha),这是一种安全验证机制,以证明本身是人而非尝试入侵的电脑程序。对于captcha机制,他解释,若骇客掌握了受害者的用户名称(username),但没有密码。骇客会设计一个程式,不断将连串数字和字母去测试密码。
“如果网站没有captcha机制,骇客就可以一直测试,直至找到正确密码就能登入了。有些机制是会限定3次或5次尝试。这些captcha就是为了防备这些攻击,例如选图片或输入字母。”如果是金融业务网站则会限制尝试次数,一旦超过就必须亲自去银行或提款机重设密码。另一些则是输入密码失败之后,系统就会冷冻账号一段时间。
冻结时间可能长达15分钟或一小时不等,直至用户输入正确密码为止,这也是减缓被骇的速度。
当记者输入“IL0v3APpL3Ju!c3”密码时,小工具显示要160亿年才能破解。
2016年最常见的密码
01. 123456
03. qwerty
05. 111111
07. 1234567
08. password
09. 123123
资料来源:Keeper Security
*分析逾1000万组外泄密码所得结果。
2017年最糟糕的密码
01. 123456
02. password
04. qwerty
05. 12345
07. letmein
08. 1234567
09. football
10. iloveyou
管理密码的方法
01.避免在几个平台使用同样的密码。
02.重新设定密码时,避免重复设定已用过的密码。
03.至少每3个月更换一次密码。
04.避免使用字典里的英文单词。若使用,将特定英文字母改成数字或符号。
05.设定密码时,不要放自己的名字、生日、手机号码、职员证号码等资料。
06.不要在公司办公桌、群组、网页或电邮公开张贴用户名称和密码。
07.如果担心忘记密码,抄录在一本簿子,然后严密保管。
08.不要点击任何陌生电邮发送的链接。
09.不要发送密码给任何人。
10.启用双因素认证,保护自己的账号。
11.小心设定“安全问题”和答案,不要轻易让人猜到。
领取专属 10元无门槛券
私享最新 技术干货