【經濟學人】密碼落落長
。 忘掉密碼始終是網路使用者的夢魘,當然密碼被破解也是。專家算出了我們至少應使用八個字元的密碼強度才夠,而且必須要是隨機的。
編譯 ∣ 廖大賢、張茵惠
出處 ∣ 《經濟學人》網路版‧Tech.view
每逢此季節,記者在下我便會橫跨太平洋,到日本待上一個月左右,夏天還要再去一次。因為職業之故,我不得不跟上各式各樣創新科技的潮流。一旦經過日本這群全世界最挑剔的顧客測試之後,不出一兩年,這些科技產品就會在歐美商店中上架。
每次打包行李我都有點難為情,因為得隨身攜帶一本應該鎖在保險櫃裡的破爛冊子。這本冊子用來記錄我所有網站的帳號密碼,包含公私之用。十多年來,我累積了這份獨一無二的清單,且厚達好幾公分,裡面有超過174個網站的帳號密碼。
我得承認資訊安全專家的建議中看不中用:如果遵照他們的忠告,我就不能用重複、好記的帳號密碼來登錄網站,而且更不應該把它們抄寫在小紙張上。我的新年新希望自然就是找到適當的軟體來存放這些資料,然後把破爛冊子給丟了。
差堪告慰的是,我不是唯一使用易破解密碼的人。大部分的網友的確都很討厭強度高但卻難記憶的密碼。英國人最常用的密碼就是「123」加「password」。美國人就好一點,他們還懂得交雜字母與數字,最廣為使用的是「password1」加「abc123」。
越簡單的密碼就越容易猜中,但是越難記的密碼卻不一定越難破解。因為記不住冗長複雜的密碼,我們就會把密碼寫在便利貼上,而貼在辦公室或住家裡的便利貼閒雜人等輕易就可以看見。
駭客除了從便利貼及筆記上竊取密碼外,他們也用以下其中一種方式來破解你的密碼。如果時間與金錢夠的話,他們就會用暴力來破解,即把所有字母、數字與符號的組合都跑過一遍。但這需要相當多的耐心與強大的電腦運算能力,通常也只有情治單位會使用這種方法。
另一個比較沒效卻與廣受歡迎的方法則是用網路上的商業軟體「L0phtCrack」及「John the Ripper」來破解。這兩種軟體使用字典、常用密碼表及rainbow tables(彩虹資料結構表,一種預存資料表,用預先計算的方式產出一些值,再利用這些值來破解運算)來破解密碼。
資訊安全專家Bruce Schneier表示,現今的密碼破解軟體一秒就能跑「幾千萬甚至幾億組密碼」。簡而言之,當今的密碼大多能在幾分鐘內就破解出來。別以為你拿字母 l 或 i 來代替數字1就很聰明;而用字母s來代替數字5或是符號$也沒好到那去。破解軟體一定會試過這些相似的替換字符。
那我們該如何自保呢?答案就是選用強度大到連駭客都懶得去破解的密碼。
密碼的強度取決於其長度、複雜及隨機。密碼的長度以八個字元以上為宜。複雜則是要看字的編組。單一字元只使用數字就只有十種選擇,加上大小寫字母就有六十二種選擇。如果再加上ASCII碼,你就有九十五種選擇。
第三個要素是隨機。這個要素借用了熱力學中-熵的概念(事物不確定的程度)。在信息理論中,擲一枚硬幣就有一個熵數(二進位制)。因為硬幣落下時的正反面機率是公平且隨機的。
當你在Wi-Fi無線網路加密時,你通常可以選擇六十四至一二八位元的密碼。位元數代表加密的熵數或隨機的程度。六十四位元熵數的強度跟六十四個隨機挑選的二進位數相同。也就是說六十四位元的密碼需要試二的六十四次方才能用暴力破解,簡而言之就要跑一千八百京組密碼。一群自發的網友耗時五年左右,終於在2002年合力破解了一組六十四位元的密碼。
馬里蘭州蓋世堡的國家標準與技術研究院建議國家機密應該採用八十位元的密碼。只要用從美國標準鍵盤的九十五個字符中選取十二個,就可以達到此安全標準,但對一般使用者來說倒是沒這必要。從鍵盤裡選八個字符,組成五十二位元的密碼就綽綽有餘了。
那我們該選那八種字符呢?雖然最好是交由電腦亂數幫你選,但很不幸,電腦通常會跑出像是6sDt%k&3這種需要抄下來的密碼。這裡有個較輕鬆的解決辦法,就是利用一段名句的頭字,像是「Murder Considered as One of the Fine Arts」(MCa1otFA) 或是 「To be or not to be: that is the question」(2Bo-2b:?)。
如果你有強力的五十二位元密碼,你就可以用密碼整合軟體來管理易破解的密碼。市面上有許多好軟體都有這種功能。為了實現新年新希望,我試裝了火狐瀏覽器(Firefox)的免費外掛密碼整合程式「LastPass」,它在Windows、Linux跟Mac等系統上都能跑。LastPass也有能在Windows的IE或是MAC的Safari等瀏覽器上作業的版本。
只要安裝這個軟體,並輸入強力密碼加上電子郵件,LastPass就會自動把你的帳號密碼加密。但要注意:萬一忘記主密碼,那你的麻煩就大了。尤其是你讓程式刪掉易被破解的帳號密碼時(它會催你這麼做),事情會更加棘手。
然後當你想瀏覽任何網站時,只要登入LastPass就可以了,這個軟體會自動幫你安全地轉到其他位置。它甚至可以幫你把網購所需要的資料放在安全的資料庫,這些資料包括你的住家地址、電話與信用卡資料。
記者在下我非常期盼下個月後再去日本時這個軟體就能派上用場,但為了保險起見,我還是會攜帶那本破爛的冊子。
Dec 18th 2009 | LOS ANGELES From Economist.com
以前在牛頓雜誌上就有介紹過一些相關的知識,只是像凱薩密碼那種簡單的我還能理解,到一些電腦加密或有數學式的就只能投降了,只不過費曼先生有在他的書中提到有些人懶得改密碼倒是屢試不爽,以前我試過有不少人的手機密碼還是跟出廠時的設定一樣
真的很佩服那些用暴力破解的人,因為連凱薩密碼在運氣不好時也要試二十四種組合,只不過我忽然想到以前在書上看到的句子"沒有鎖的世界,就是天堂",希望真能見到人間變成天堂
最難打開的鎖總是在我們自己的心裏面,
開鎖要有意願、決心、和正確的方法,
好在方法常常不只一種。
我們常對理想世界有著想像,譬如《禮記》提到「大同之世」,強調在這個時期人們夜不閉戶,鰥寡孤獨廢疾者皆有所養。(我們先撇開『大同』與『小康』這兩個相對概念的細節不談)
「好的世界」的想像往往對於「壞的世界」的厭棄而來,也就是對現狀的不滿。譬如孔子談大同(如果他真的有談的話!)是因為大同之世沒有來,勉強只能做到小康。
但事實上我認為我們的社會其實已經比禮記時代更接近大同了。福利國概念進入了我們的政策之中;政府結構方面,世襲制度(至少理論上)已經消失(世襲是『小康』的特徵)。一百年前的先民何曾想過有這一天的到來?由此觀之,人間成為天堂也不是那麼遙遠的事。儘管一定有人笑我太樂觀了。XD
You are very optimistic. 我只敢說知其不可而為之是人類難得和其他生物的不同處,也可能是僅有的希望知所繫。
獅子頭終於成功了????
吼!!
感溫
我也該去買一本破爛的本子了
( 哪裡會賣破爛本子?)