密码8字以下易破解 11字以上较安全

▲防脸书遭盗,经常更改密码保险

国际中心综合报导

科技网站透过实验证明,就算是长达16个任意字元所组成的密码,骇客也能在不到1小时内成功破解;网站建议,密码还是越长越好,且11字元以上的比较安全。

科技网站Ars Technica从列有1万6449个密码的清单当中,破解超过1万4800组密码,3名骇客联手替网站进行这项实验,成功率为62%到90%,连「qeadzcwrsfxv1331」这种组合也被破解。这3名骇客也公布他们如何破解密码和破解密码的传统手法。(右图/不用改帐号密码,Outlook保留过去资料。)

骇客要猜测密码时,不是重复在网站上输入密码,而是透过网路上取得所谓的「杂凑密码」(hashed passwords)清单以破解密码。

「杂凑」是让使用者加密前的密码,透过不可逆演算法产出由数字字母组成的独特字串,这样骇客难以从加密后字串推回到原本的密码,网站储存时也是储存杂凑密码以加强安全。假使杂凑密码清单遭窃取,有心人士也难以破解原本的密码,不过网站实验证实,这非毫无可能。

其中一名骇客、Stricture Consulting Group的创办人与执行长斯尼(Jeremi Gosney)透过密码破解手法,解出1万多组密码。一开始,葛斯尼用「暴力破解法」(Brute-force Attack)破解1到6字元的密码,他透过这种方法,在2分钟32秒内找出1316组加密前的密码,再以相同方法找出1618组7或8字元的密码。(右图/4字懒人密码,破解机率1/24。)

第二种破解法是除了暴力破解法之外,再加上「字典攻击法」(dictionary attack),成为混和式攻击法,葛斯尼在5小时又28分钟内,破解共1万2935组密码。

根据这项骇客实验,以8字元以下真实词汇组成的密码相当容易被破解。Ars Technica建议,为了安全,最好直接用11字元以上的密码。Ars Technica说,「读者应要花时间确定所有密码最少都是11字元,包含大小写字母和数字,最好也不要长得像某种模式。」(新闻来源中央社