iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 10
1

前一篇提到了「弱密碼」,容易被暴力破解,到底什麼是弱密碼?

對於一般民眾來說,現在使用的網站服務越來越多,密碼也越來越多,但密碼設定這件事,很多人就不夠重視。

例如,有很常見的問題就是,為了方便記憶
1.在多個雲端帳戶使用了相同的帳號與密碼。 這等於帳密只要外洩一次,其他服務也能被登入的可能性。(像是雙因素認證的出現,就是避免帳號外洩的多一層保護)

2.使用了弱密碼,因此容易被現在的自動化工具暴力破解或直接猜出。 有那些是弱密碼呢?我簡單分為幾類
(一)使用自己的個人資訊。就如上篇所提,你想的到,別人也想的到 。你會用自己電話、生日,或是身分證字號等,別人取得已經外洩的資料,就可以猜到你有可能用這些作為密碼。要認識這樣的風險。

(二)使用太簡單的密碼。大部分人都會舉例像是123456、12345678,但我覺得不止,還有像是鍵盤排列的qwerty,密碼的英文單子password等,甚至簡單變化的p@ssw0rd,password123、1234qwer、1qaz2wsx都是弱密碼,但我覺得最重要的關鍵,就邏輯來看,其實就是最常被人使用的密碼就是弱密碼。

有興趣的人,可已看看SplashData的報告,他們是密碼管理程式供應商,他們近年每年公布年度最常見的密碼,或是另一間Dashlane也有揭露一些使用糟糕密碼的清單與事件
https://ithelp.ithome.com.tw/upload/images/20190912/20013608ONKnEAEABh.jpg
(圖片擷取自SplashData)
https://ithelp.ithome.com.tw/upload/images/20190912/20013608pot0Dx0wiO.jpg
(圖片擷取自Dashlane)

以下是Wiki對於弱密碼的說明

弱密碼是易於猜測的密碼,主要有以下幾種:
1.順序或重複的字符:「12345678」、「111111」、「abcdefg」、「asdf」、「qwer」鍵盤上的相鄰字母;
2.使用數字或符號的僅外觀類似替換,例如使用數字「1」、「0」替換英文字母「i」、「O」,字符「@」替換字母「a」等;
3.登錄名的一部分:密碼為登錄名的一部分或完全和登錄名相同;
常用的單詞:如自己和熟人的名字及其縮寫,常用的單詞及其縮寫,寵物的名字等;
4.常用數字:比如自己或熟人的生日、證件編號等,以及這些數字與名字、稱號等字母的簡單組合。

當然,更廣來說,容易被暴力破解的,基本上就是越短的密碼,越容易被破解 。大家可以想想,20多年前或更少,許多網路服務就有帳密登入,驗證身分,當時可能是要求輸入6-8,但,那是那個時代,當時的電腦效能有多強?20年後,現在的電腦效能又是多強?有了這樣的認識,對於風險應該也能有些想像。現在,一些服務都已經可以輸入18碼,但還會提供雙因素驗證等機制來保障。更何況未來還有量子電腦再發展

(三)另外是預設密碼的問題, 不過這邊多指一些系統設備的管理介面。(民眾使用的網路服務,應該很少有預設密碼吧?但也有是首次給你一個預設,再提醒要你變更)像是無線網路的管理介面,IP監控攝影機的管理介面,很多使用者沒有變更,而設備的說明書在網路上查都有,等於網路犯罪者入侵後,直接就能猜到可能沒有改密碼,取得設備控制權限。

P.s.至於如何設定比較安全的密碼,其實可以聊很多,這裡先簡單說。

以現在的密碼設定建議方向來看,越長越好,但如何記憶可能是用戶挑戰,不少是提倡三組字串結合,像我可能用「一個熟悉的密碼字串」+「較特殊的鍵盤排列」+「非三等親的朋友電話號碼」,然後還可以加上尾碼的概念(像是身分證字號最末碼)。(但還是要想,規則用多了,是否就變得有跡可尋)

最近也聽過有建議,是使用三組電話號碼連在一起。

另外最近看到教育部 在最近也提供了相關資源,可以參考。基本概念是有一些,但我覺得還算是有許多變化要注意,像是p@ssw0rd被使用了後,其實也會變成弱密碼,像是現實狀況就是密碼外洩嚴重,還有密碼記憶管理的面向,但自己可從邏輯上去思考,認識這些風險。(以下取自教育部)

全民資安總動員 教育部懶人包教你設定安全又好記的密碼
https://ithelp.ithome.com.tw/upload/images/20190912/20013608UDGD8NBj6b.jpg
https://ithelp.ithome.com.tw/upload/images/20190912/20013608oI2abM71zM.jpg
https://ithelp.ithome.com.tw/upload/images/20190912/20013608SaVRGyHWLa.jpg
https://ithelp.ithome.com.tw/upload/images/20190912/20013608zS3pSvMxhD.jpg

另外,像是許多網站服務也會有說明,像是Google現在的建議:1.請勿重複使用密碼。2.使用較長且較容易記住的密碼。3.避免使用個人資訊和常見字詞。

https://ithelp.ithome.com.tw/upload/images/20190912/20013608vhZ2gZnzpp.jpg
https://ithelp.ithome.com.tw/upload/images/20190912/20013608ZywdHykFh4.jpg
https://ithelp.ithome.com.tw/upload/images/20190912/20013608o8FjjubUzq.jpg

此外,有些也是會建議業者提供的密碼管理器,也是一個可行的方法,但你也可能會想他們的安全又是怎樣,這也是認識風險。

另外,對於一般民眾而言,或許也發現瀏覽器業者也在協助改進使用者的密碼設定,例如,現在Chrome會幫你再註冊帳戶時,自動給你一組亂數產生並是很長的密碼,然後再透過瀏覽器內建的技術保護。
https://ithelp.ithome.com.tw/upload/images/20190912/20013608jPV2JlkLnD.jpg
(大致上,Chrome 69版後,當Chrome偵測到密碼欄位,就會出現建議高強度密碼的選項。像是我在Yahoo註冊頁面上點到密碼欄位,就會跳出。)

其實,這幾年瀏覽器本身對密碼的保護是有改變與提升的,只是,沒有長期關注有點難說清楚,像是過去瀏覽器提供「記憶密碼」的功能,但記憶的密碼有無妥善保護?,後來,記得瀏覽器業者隔了許久有提出改善作法,像是Chrome好像要系統存取權才能檢視密碼,但各瀏覽器的作法與進度,真的要持續關注才搞得清。有興趣的人,可以多瞭解現在又提升到什麼程度,但這樣的持續改進,也可以知道這沒有絕對的安全。自己還是要多注意。

有點覺得這篇該拆成很多篇來談,後面還可以聊像是密碼外洩事件、Firefox Monitor,以及Google Password Checkup。想想怎麼拆


上一篇
第九篇,從警察破案新聞,看使用者對使用Gmail安全的疏忽
下一篇
第十一篇,從電視劇看國內一銀ATM自動吐鈔案!就在週五
系列文
生活資安五四三!從生活周遭看風險與資訊安全~番外篇30

1 則留言

0
小魚
iT邦大師 1 級 ‧ 2019-09-12 10:44:58

看到 1qaz2wsx 了,
有一次設定這個就被檢查為弱密碼,
不讓我通過,
然後我就改成 1qaz2ws 就過了.
/images/emoticon/emoticon01.gif

ccutmis iT邦高手 8 級 ‧ 2019-09-12 10:54:30 檢舉

/images/emoticon/emoticon01.gif : 身為專業外包商 帳密設 admin || admin 不是常識嗎....

...
/images/emoticon/emoticon05.gif

小魚 iT邦大師 1 級 ‧ 2019-09-12 10:56:10 檢舉

我還接手過不少密碼存明碼的,
一看到就...ㄎㄎ.

基本上我那個密碼只是公司內部測試,
沒什麼差別,
不過以前以為這個密碼是安全密碼呢...

cheng527 iT邦新手 1 級 ‧ 2019-09-12 11:11:39 檢舉

哈,主要我覺得還是被使用的多,就會被注意到,然後被列入不要使用的清單,但久了之又會變

我要留言

立即登入留言