health101dr
資深會員
積分 4970
發文 501
註冊 2015-2-10
狀態 離線
|
#1 [閒聊]密碼難到記不住 真能防駭客?
從「英數鎖」被研發出來後,「設定密碼」這件事就開始困擾著所有使用者。也許我們會用生日、手機號碼做為密碼來源,但很多專家告訴我們那樣的密碼並不安全,我們改用一些單字、名字來當密碼,又有專家說採用暴力攻擊法可以在幾秒鐘就把我們的密碼破解,於是密碼越設越複雜,而大家也越來越記不住自己的密碼。
不要採用人們最常使用的密碼來源,例如生日、姓名縮寫、手機號碼等,因為這也是駭客最先會猜測的密碼,這些告誡是有道理的。不過隨著電腦技術越來越進步,駭客開始使用「暴力攻擊法」。暴力攻擊法就是將所有密碼的可能組合全部嘗試解密,因此,密碼就需要更高的強度才能抵抗,衍生出各種保護密碼的理論,也有各式各樣的專家建議,甚至有所謂的密碼產生器,隨機幫你設定一組密碼,這種密碼你幾乎無法背下來。
舉例來說,你能夠記住「tincan24」這組密碼,但為了增加密碼強度,換了你完全背不起來的「7Qr&2M」,兩組密碼何者對你比較好?或者哪一組密碼對駭客來說較難破解?答案是「沒有差別」,在暴力攻擊法的衝撞下,花一小時破解與三小時破解並沒有差別。
如果密碼檔洩露了,網站及早發現並發出警告,強迫使用者更換密碼,那麼你的機密依然是安全的;或者網站架構上有對密碼檔利用金鑰進行加密,駭客也不見得能破解金鑰。就怕網站並沒有對使用者的密碼檔本身有任何的保護,不管你密碼設得再強,如果網站方根本就對保存你的密碼這件事情不加重視的話,你就算真的設成「7Qr&2M」,也完全沒用。
這時就有一個問題了,為什麼廠商還要建議你設立「7Qr&2M」這一類的密碼?
事實上,這是網站或是廠商試圖把密碼保管的責任推卸到使用者的一種做法。要讓使用者透過設定一連串複雜而難記的密碼,去解決暴力攻擊法的問題是不切實際的。只有從網站的架構或是應用程式端,真正做到防止密碼檔洩露,並對密碼檔加密保護,才是根本的做法。
【101創業大小事/整理報導】
完整內容→http://www.101media.com.tw/content/vRZRTtrYVJqU9bf3g1MwIslNm2o9ak
|
|