iT邦幫忙

2021 iThome 鐵人賽

DAY 27
0
自我挑戰組

網路通訊輕鬆聊系列 第 27

初探網路安全(二):密碼怎麼被「試」出來的

每一年都可以看到新聞在報資安公司所統計出來的年度最爛密碼,諸如以下

  • 123456789
  • picture1
  • password
  • qwerty
  • iloveyou

由於這些密碼太過常見,就算你不是一位對資訊安全有深入了解的專家、駭客,你也可以「試試看」把這些常見的密碼用在你仇人的帳號上,多試個幾次搞不好居然就能登入了。

密碼怎麼猜?

而事實上,大多數駭客在破解密碼的思維也是如此,就是「試試看」而已,只不過是用比你快的多的速度在嘗試而已,運氣好的話,一些常見密碼就這樣被試出來了。

假如說一個網站伺服器不幸被駭客入侵,竊取了所有的密碼,恰恰好這些密碼都沒有被 Hash(密碼是怎麼被儲存的)過,這些密碼可能就被記到了駭客的小筆記裡,用來試試看其它網站。

也就是說,當你在想一組新密碼的時候,要盡量避免大家都想的到的密碼,否則就很容易被猜中。例如這組密碼 jie2k7au4a83,就曾被國外資安專家發現是一組常見的密碼,但熟悉注音的各位應該能發現這就是「我的密碼」用注音來表示吧!

當駭客不認識某個使用者時,比較難透過私人的訊息如生日、住址等去猜到密碼,這種情況通常也只能「暴力破解」,但用的是電腦的算力,和一些聰明的辦法暴力破解。

暴力破解密碼

最直接的方式就是把密碼能出現的每個符號都嘗試一次,假如有個 100 個可能字元,密碼長度為 1 的話,試 100 次就能猜出來;長度為 2 的話,就需要 100^2 次,以此類推,密碼長度越長所需要嘗試的次數就會越多。

假如駭客用的這台電腦,平均 1 秒能算 10 億(10^10)次的話,長度為 5 的密碼就只要花 1 秒便能試完所有組合,但長度為 10 的密碼卻要 300 多年才能試完,也就是說,越長的密碼要破解的話花的時間越多,而且是指數成長。

但這樣太暴力了,一般駭客也無法接受,他們通常比較溫柔。

所以拿出他們的小筆記,以及一本「字典」,會比較沒那麼暴力一些。

如果將有人用過的密碼先試一次、在字典裡出現過的字排列組合一下試過一次,這類的策略可以大幅的縮小範圍,例如

  • iloveyou 是常見的密碼,也是常見單字的組合
  • p@ssword 替換了 a 成 @,也是很常見的做法
  • whatever123 直接就是字典裡的字加上數字的組合

因為以一些符合直覺的方式組合,所以像這樣的密碼都是強度極低的密碼。懶得想密碼而想的密碼,駭客其實都知道。

諸如包含鍵盤排列的 qwertyqazwsx、密碼後加上簡單數字 123666666 等等讓你容易記的密碼,都會比較容易的被猜出來。

聊到這邊你可能會想,現在的網站不都會限制你輸入錯誤密碼的次數嗎?哪這麼多機會給你試我的密碼呀!明天我們接著談這個話題。


上一篇
初探網路安全(一):密碼大小事,存在伺服器的密碼安全嗎?
下一篇
初探網路安全(三):怎麼取一個「好」的密碼?在不同網站想密碼的策略
系列文
網路通訊輕鬆聊30

尚未有邦友留言

立即登入留言