Page 35 - 清流雙月刊 NO.12
P. 35
駭客入侵 無孔不入的國安危機
困擾的是駭客
還是自己?
Yahoo 和 Apple iCloud 皆因資安缺陷發生嚴重的資料外洩問題。
與其追求字符複雜度,
不如擁抱字串長度
如 !、$、#、%)。照此設定方式,再加上 其實早在 Bill Burr 接受訪問之前,NIST
最小密碼長度設定為 8 個字元的話,確保 已變成強調密碼長度而非組成複雜度,只
至少 218,340,105,584,896 不同單一密碼的可 要密碼長度足夠,即使是一串簡單的英文
能性,目的是避免密碼被惡意人士用暴力 字元所組成的密碼,其排列組合的可能性
窮舉法輕易破解。 數量就已足夠。且考慮到一般民眾為了使
用方便好記又符合複雜度要求的密碼,常
這 種 密 碼 設 定 方 式 開 始 流 行, 起
常會利用鍵盤排列(例如 !@#$QWERasdf)、
因 於 2003 年 美 國 國 家 標 準 技 術 研 究 所
象形文字(例如將 s 取代成 5,或是將 a 取
(NIST,National Institute of Standards and
代成 @)等手法來設計密碼,這也是為什
Technology)所制定的一份文件附錄,有趣
麼 P@55w0rd 也會登上密碼使用排行榜上的
的是,撰寫該安全密碼最佳實踐原則的作
前段班。
者 Bill Burr 近日接受華爾街日報訪問時卻直
言當初所制定的方式並不十分恰當,並為 而對駭客而言,為了節省破解時間,
此造成使用者的不便感到抱歉(“Much of 一開始會先利用「慣用密碼紀錄表」來進
what I did I now regret.")。他並不是在鼓勵 行 密 碼 破 解,故 其 實“P@55w0rd" 比
使用容易被破解的密碼,而是因為當初撰 “ilovemycompany"這類簡單規則組成的字
寫時沒有考量到人類的惰性問題,太複雜 串更能輕易被破解。但要特別注意的是,使
的密碼組成要求不僅徒增困擾且可能還有 用簡單組成規則的前提是字串長度要夠長
反效果。 (建議至少 12 個字元),可能性數目才足夠。
No.12 NOV. 2017. MJIB 33
