你的密碼安全嗎?

最近 intel 推出一個密碼安全評斷網頁,可以讓你把密碼送上去來評估密碼強度,並且會告訴你【以暴力破解密碼所需的時間】。

首先大略跟各位介紹一下暴力破解法的方式,顧名思義,就是猛 Try 密碼,只要是沒有防止重試機制的所在,大概都能用這個方式破解,畢竟也就那些排列組合,只是差在時間的問題上。

首先第一步是字典檔,雖然不是必備,但是不可否認的,把常見的、有意義的字做成字典檔(每個駭客其實都有自己的字典檔),只要字典檔做的好的話,密碼基本上是瞬殺。字典檔還可以加速破解數個有意義的辭彙組成的密碼(例如goodbigapple,不過如果穿插大小寫就可以拖久一點)。

字典檔做了無用之功的話,就開始進行排列組合的車輪戰,從一個字開始試,通常會有不同的演算法以加速,比如,先試4~6字的英數混合密碼可能比較常見。總之,在高速運算下,一切也就一瞬間,時間反而會花在等待密碼正確與否的回應(網路慢啊…)所以這個網頁中的數值在看的時候,還是要打個折扣的。

這邊也大概提一下密碼安全性的幾個原則:

  1. 愈多字的密碼需要越多的時間來破
  2. 愈複雜的密碼需要越多的時間來破
  3. 單論純粹型式的話,字母比數字安全,尤其是加上符號的話

一般來說,這兩個原則是共通的,也就是說,即使是包括大小寫字母、數字、符號的密碼,在 5 個字元以下,還是跟簡單密碼差不多可以算是秒殺等級。

那怎麼樣簡單的做出好記安全性又強的密碼?其實很簡單,尤其華人來說,有一個得天獨厚、非常棒的東西,就是中文輸入法,這東西打在鍵盤上不成中文的話,大概沒有外國人能預測,是最好的編碼法。

  1. 找一小句話
  2. 以你喜歡的中文輸入法打入
  3. 如果是倉頡或嘸蝦米的話,只有用到26字母,可以在字與字中間補上空白或記得的符號
  4. 把密碼維持在 6 字以上,最好能達到 10 字以上

光是「臣亮言:」的注音,就可以讓他算 4 個月,「水到渠成」的注音可以讓他算 85 年,「喜羊羊與灰太郎」更可以撐 4917億年,PTT有人直接丟出師表全文(中文),計算時間直接爆表,不過每次打帳密大概會哭出來吧。 XD

最後,還是要提醒一句,資訊安全不是只有密碼學,如果讓人進來電腦直接偷看走密碼,多複雜都沒用。