LV. 23
GP 451

【情報】當廠商都說密碼該又臭又長,微軟卻告訴你:太亂的密碼根本沒用

樓主 2025年未來人 aq246246
GP104 BP-
各個網站、軟體要求我們使用之前要先登入身分、驗證密碼。而且對於密碼都有一些基本的規則要求,以 Windows 為例,它的要求就是:

  • 密碼長度至少為 6 個字元
  • 至少包含三種下列字元的組合:大寫字母、小寫字母、數字、符號(標點符號)
  • 不要包含使用者的使用者名稱或畫面名稱
這些設定密碼的規則,都是針對想要入侵你的電腦的駭客而來的。不要包含使用者名稱、或是不要採用生日與電話號碼,都是因為這些是人們最常使用的密碼,也是駭客最先會猜測的密碼,幾乎不具備任何的密碼強度。這些的設定是有道理的。

沒有無法破解的密碼,只是時間的問題

不過,後來隨著電腦技術越來越進步,駭客開始使用「暴力攻擊法」。暴力攻擊法就是將所有密碼的可能組合一一嘗試,因此,只要時間夠,最終總能夠湊出你的密碼。
面臨暴力攻擊法的工具,一次可以猜測上百萬次甚至上億次的密碼組合,因此密碼就需要更高的強度才能抵抗(或是說拖延破解的時間),因此開始有各種理論,也有各種專家的建議,甚至有所謂的密碼產生器,用亂碼幫你設定出一組密碼,這種密碼你幾乎無法背下來。
不過,微軟的研究者發現,如果你使用這種高強度的密碼,所獲得的安全性,可能與中等強度的密碼是一樣的。
為什麼呢?
以暴力攻擊工具來說,駭客使用的工具有離線模式與線上模式兩種。線上模式,駭客則是使用與一般人要登入網站的相同入口,在那個網站上進行線上破解的動作。而這種線上模式,就會受到網站的登入次數以及其它防範攻擊的限制。
但是,另一種離線模式的做法是,駭客先竊取網站的密碼檔,然後就可以把這個密碼檔拿回來慢慢破解。對於這種模式的暴力攻擊,「時間」的問題就不存在了,對於駭客來說,百萬次暴力破解強度的密碼,與上千萬次暴力破解強度的密碼,破解難度的差別只在於幾個小時而已,最終密碼一樣會被破解。
舉例來說,以「tincan24」這個密碼來說,密碼強度為 106(1M),但是這組密碼至少使用者記得起來。但如果為了增加密碼強度,換了一個密碼「7Qr&2M」它的密碼強度為1014(100T),但是你完全背不起來,兩組密碼何者對你比較好?
事實上,兩者在線上模式的情況下,都足以應付線上模式的破解工具。而在離線模式下,兩者都會被破解。等於說,為了沒有多大意義的動作,你建立了一個根本記不起來的密碼。

保存密碼的責任不該是使用者

延續前面的問題,如果密碼檔洩露了,是不是你的密碼就洩漏了、機密就外流了呢?事實上也不是這樣。
如果密碼檔洩露了,網站及早發現、及早發出警告,甚至強迫使用者更換密碼,那麼你的機密依然是安全的,離線暴力攻擊法依然對你的資料沒有任何威脅。
甚至,如果密碼檔洩露了,假設網站方沒有及早發現,但是網站架構上有對密碼檔利用金鑰進行加密,駭客也不見得能破解金鑰。怕就怕網站並沒有對使用者的密碼檔本身有任何的保護,甚至直接以明文保存,這時如果密碼檔洩露了,駭客根本就不需要破解,直接就能得知所有使用者的密碼。
這時你可以瞭解到,不管你密碼設得再強,如果網站方根本就對保存你的密碼這件事情不加重視的話,你就算真的設成「7Qr&2M」,也完全沒用。
這時就有一個問題了,那麼,為什麼廠商還要建議你設立「7Qr&2M」這一類的密碼?
事實上,這是網站或是廠商試圖把密碼保管的責任推卸到使用者的一種做法。要讓使用者透過設定一連串複雜而難記的密碼,去解決暴力攻擊法的問題是不切實際的。只有從網站的架構或是應用程式端,真正做到防止密碼檔洩露,並對密碼檔加密保護,才是根本的做法。

其實這篇重點很簡單
如果你架設一個論壇
有1000人註冊
那你的數據庫就有1000組帳號+密碼
如果有心人從你的網站竊取數據庫的資料
那你的加密在多都沒有用,除了個人防護要做好之外,網站.伺服器本身資安也要做好
當某一方資安沒做好,就有外洩的可能性

其實就像很多大型網站或公司,使用者的信用卡資訊外洩一樣
一個涉及金錢,一個涉及你個人的隱私
隱私部分就像公眾人物 裸照外洩等等

在講一下這篇重點...
並沒有說 密碼設置複雜不重要
基本上 每個網站註冊密碼 都會進行測試 有沒有中上程度
基本上 你的密碼只要達到中上程度
駭客就難以破解

至於高程度密碼以及中程度密碼,在被駭的數據庫破解程度都是一樣的
這篇是在講這個
並不是說密碼不重要,而是 密碼管理是使用者以及管理員要共同承擔的
問題是,現在絕大部份的管理員都把承擔責任推給使用者

104
-
未登入的勇者,要加入討論嗎?
板務人員:

1319 筆精華,08/17 更新
一個月內新增 1
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】