『在人類的歷史上原本就沒有永遠的和平。但如果說我們必須為下一代留下某些遺產的話,我想最好的還是和平吧。而把前一代留下來的和平維持下去,那就是下一代的責任了。如果每一代都能夠牢記自己對下一代的責任的話,那麼大概就能夠保持長期間的和平吧。如果有所遺忘而把先人的遺產坐吃山空,那人類就得再重頭開始了。也好,那也不是壞事。』
--- 銀河英雄傳說 楊威利名言
(1)事件:嫌犯利用民眾設定密碼習性,破解Google雲端竊取個資,轉走銀行存款(新聞來源:https://www.chinatimes.com/newspapers/20180907000607-260106 、https://www.cib.gov.tw/News/Detail/35282 )
(2)被攻擊單位:民眾設定密碼慣性
(3)系統:Google雲端
(4)時間:2018年7月
(5)攻擊方式:利用個資『猜測』密碼,即『撞庫』
新聞中罪犯的手法,有個專有名詞,叫做『撞庫』
,名詞解釋如下:
指的是拿網上已經泄露的用戶和密碼信息,批量嘗試在另一個網站或平臺進行匹配登錄的行為。只要有一次匹配成功,就成功竊取到用戶信息。
說實話,筆者不覺得這個手法是太有技術層面的東西,反而偏向人性陰暗面,而這種密碼被猜出來的方式,也跟暴力破解不相同,暴力破解還需要有密碼資料庫,這個完全就是用猜的方式,當然,罪犯的猜法也是有個規則在猜的,例如利用生日、電話等等,但這也不意外,因為大部分人都是這樣做,總不會設定一個自己都記不住的密碼,然後又得一大串重設密碼的動作吧?
說來這也是個歷史共業,早期對密碼不注意的時代裡,大家大部分都只設了四個數字,大概就沒問題了,但是後來進入暴力破解的時代裡,大家開始有點警覺意識,此時就開始加長到6~8碼,到後來在混雜英文字母,最後在要求大小寫,到現在進入指紋辨識、臉孔辨識、符號、圖像辨識等等。然而這一切都是人所發明,演化出來的,在怎麼厲害都還是有辦法破解的。
以現在的防止密碼容易被破解的防範的作法,大概也不外乎密碼複雜化、時常更新密碼,但是說實話,沒用的時候還是沒用,否則就不會那麼多個資的刑事案件了。
所以到底有沒有甚麼方式可以避免密碼被破解呢?
筆者認為--> 除非不用密碼吧!
在實務界也有這樣例子,例如現在新的汽車都已經不用鑰匙孔了,既然偷車的人努力複製鑰匙在偷汽車,那麼乾脆讓汽車鑰匙孔消失吧!筆者覺得這個創新,這也確實降低不少汽車失竊率。
因此,密碼既然已經發展那麼長久(可追朔至幾千年前),大概所謂的人性中的惰性、劣根性都在密碼學表現得差不多了,那麼就乾脆把一些關鍵因子拿掉,讓原本平衡的態勢改變,這樣也許可以讓世界和平一段時間吧!
說來都是人類行為下的產物
聽過一個說法
傳說中治安好的社區或村落
家家戶戶的宅邸是沒有大門的
因為不需要
可是當某天有某戶開始遭竊後
每個人都開始裝設大門並上鎖了
其實仔細看盜領流程圖,他是更改連絡電話後,取得密碼簡訊候登入的。所以問題不單在於密碼而是可供證明驗證的資料都被取得/更改了。
早在去年NIST和US-CERT就警告過SMS簡訊認證沒有想像中安全,果然今年就發生過案件:罪犯拷貝SIM卡後提出要求認證簡訊,得到認證簡訊後便直接登入帳戶了(不用輸入密碼)。
簡訊認證會有四位數認證碼,本人line中了一次...哭!