iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 17
1
Security

三十篇資安實例分享及解析系列 第 17

三十篇資安實例分享及解析DAY 17--嫌犯利用民眾設定密碼習性,破解Google雲端竊取個資,轉走銀行存款

『在人類的歷史上原本就沒有永遠的和平。但如果說我們必須為下一代留下某些遺產的話,我想最好的還是和平吧。而把前一代留下來的和平維持下去,那就是下一代的責任了。如果每一代都能夠牢記自己對下一代的責任的話,那麼大概就能夠保持長期間的和平吧。如果有所遺忘而把先人的遺產坐吃山空,那人類就得再重頭開始了。也好,那也不是壞事。』
                                                  --- 銀河英雄傳說 楊威利名言

(1)事件:嫌犯利用民眾設定密碼習性,破解Google雲端竊取個資,轉走銀行存款(新聞來源:https://www.chinatimes.com/newspapers/20180907000607-260106https://www.cib.gov.tw/News/Detail/35282 )
(2)被攻擊單位:民眾設定密碼慣性
(3)系統:Google雲端
(4)時間:2018年7月
(5)攻擊方式:利用個資『猜測』密碼,即『撞庫』

https://ithelp.ithome.com.tw/upload/images/20181025/201074825lBLzZCSIO.jpg

新聞中罪犯的手法,有個專有名詞,叫做『撞庫』,名詞解釋如下:

指的是拿網上已經泄露的用戶和密碼信息,批量嘗試在另一個網站或平臺進行匹配登錄的行為。只要有一次匹配成功,就成功竊取到用戶信息。

說實話,筆者不覺得這個手法是太有技術層面的東西,反而偏向人性陰暗面,而這種密碼被猜出來的方式,也跟暴力破解不相同,暴力破解還需要有密碼資料庫,這個完全就是用猜的方式,當然,罪犯的猜法也是有個規則在猜的,例如利用生日、電話等等,但這也不意外,因為大部分人都是這樣做,總不會設定一個自己都記不住的密碼,然後又得一大串重設密碼的動作吧?

說來這也是個歷史共業,早期對密碼不注意的時代裡,大家大部分都只設了四個數字,大概就沒問題了,但是後來進入暴力破解的時代裡,大家開始有點警覺意識,此時就開始加長到6~8碼,到後來在混雜英文字母,最後在要求大小寫,到現在進入指紋辨識、臉孔辨識、符號、圖像辨識等等。然而這一切都是人所發明,演化出來的,在怎麼厲害都還是有辦法破解的。

以現在的防止密碼容易被破解的防範的作法,大概也不外乎密碼複雜化、時常更新密碼,但是說實話,沒用的時候還是沒用,否則就不會那麼多個資的刑事案件了。

所以到底有沒有甚麼方式可以避免密碼被破解呢?

筆者認為--> 除非不用密碼吧!

在實務界也有這樣例子,例如現在新的汽車都已經不用鑰匙孔了,既然偷車的人努力複製鑰匙在偷汽車,那麼乾脆讓汽車鑰匙孔消失吧!筆者覺得這個創新,這也確實降低不少汽車失竊率。

因此,密碼既然已經發展那麼長久(可追朔至幾千年前),大概所謂的人性中的惰性、劣根性都在密碼學表現得差不多了,那麼就乾脆把一些關鍵因子拿掉,讓原本平衡的態勢改變,這樣也許可以讓世界和平一段時間吧!


上一篇
三十篇資安實例分享及解析DAY 16--高雄十全果菜市場遭『WannaCry 』勒索,付贖金才得已解鎖
下一篇
三十篇資安實例分享及解析DAY 30--總統府首次主辦「一○六年府會資安週—資安即國安」活動,刑事局54支隨身碟USB贈品感染惡意病毒
系列文
三十篇資安實例分享及解析30

2 則留言

1
forgame0322
iT邦新手 5 級 ‧ 2018-10-26 15:46:16

說來都是人類行為下的產物
聽過一個說法
傳說中治安好的社區或村落
家家戶戶的宅邸是沒有大門的
因為不需要
可是當某天有某戶開始遭竊後
每個人都開始裝設大門並上鎖了

1
Sergeyau
iT邦研究生 3 級 ‧ 2018-10-27 08:51:19

其實仔細看盜領流程圖,他是更改連絡電話後,取得密碼簡訊候登入的。所以問題不單在於密碼而是可供證明驗證的資料都被取得/更改了。

早在去年NIST和US-CERT就警告過SMS簡訊認證沒有想像中安全,果然今年就發生過案件:罪犯拷貝SIM卡後提出要求認證簡訊,得到認證簡訊後便直接登入帳戶了(不用輸入密碼)。

簡訊認證會有四位數認證碼,本人line中了一次...哭!

我要留言

立即登入留言