Maxwell wrote:
這個駭客..算很厲害...(恕刪)
只是複製鑰匙而已
但太麻煩了
美媒實測:駭客在1小時內可破解上萬組密碼
文/陳曉莉 (編譯) 2013-05-29
Ars Technica實驗發現,1.65萬組的加密密碼Steube與radix在一小時內分別破解了82%與62%的密碼組,Gosney則花了20個小時破解了9成的密碼,在一小時內就被破解的密碼中,還包含像是qeadzcwrsfxv1331等長度多達16字元的密碼。
美國科技網站Ars Technica最近邀請3名駭客進行密碼破解的實驗,以了解已加密密碼的安全性,然而,實驗發現,就算外洩的密碼不是明碼文字,而是以加密的雜湊(hash)碼形式呈現,這些駭客仍能在1小時內破解逾1萬筆密碼,其中還包含長達16字元、夾雜英文與數字的密碼。
Ars Technica是從網路上下載約1.65萬組的加密密碼,並邀請來自Stricture Consulting Group的密碼專家Jeremi Gosney、來自oclHashcat-plus的開發人員Jens Steube,以及代號為radix的駭客進行破解密碼的實驗。
為了保障使用者的安全,有不少網站於伺服器端儲存的是已加密的雜湊密碼,例如實際為arstechnica的密碼會變成c915e95033e8c69ada58eb784a98b2ed,當使用者在登入時輸入的仍是arstechnica,但網站會將其加密並與伺服器端儲存的密碼進行比對。
不過,Ars Technica實驗發現,Steube與radix在一小時內分別破解了82%與62%的密碼組,Gosney則花了20個小時破解了9成的密碼,在一小時內就被破解的密碼中,還包含像是qeadzcwrsfxv1331等長度多達16字元的密碼。
這些駭客利用字典及蠻力破解法(brute-force crack),從破解順序可發現,愈短的密碼愈容易破解、單純使用文字或數字的密碼也愈容易破解、只使用字典中的詞彙也很容易破解。
除了上述專家外,沒有技術背景的Ars Technica副主編Nate Anderson也加入了這項實驗,他在5月的某天早上才學會如何破解密碼,但當天就破解了8000組,他說,即使他知道破解密碼不難,但沒想到竟是如此容易。他只是上網下載了用來破解的加密密碼,下載了密碼破解器、找到生字資料庫,然後就成功了。
從Ars Technica的實驗看來,不論網站儲存使用者密碼時是採用清楚的文字或是加密的雜湊碼,一旦外洩,便很難保障使用者的帳戶安全,不過,近來業者已開始推動以生物辨識取代密碼輸入,Google亦正在研究如何以實體裝置來取代密碼。
----
貼這篇不是在於論戰那一種方法比較安全, 其實只要設備不在自己手上, 什麼防護方法都沒效. 我比較看重的一點是, 那一種相對方便, 又有一定程度的防護力. 密碼這個東西, 大概鎖住自己, 比鎖住別人還多一點(說到這, 我就想到我還有一個網銀的密碼要需要找銀行幫我解套哩!
). 以手機而言, 難用的鍵盤, 特別像 iPhone 那種畫面又小, 常常就按錯鍵, 設高度防護力的密碼, 簡直是活受罪, 所以, 實務上密碼防護可能非常差, 因為大家只會設容易的密碼. 所以, 我認為像這樣的生物辦識認證(不一定是指紋而已), 在手持式設備將會是主流. 但你可能有一些習慣要養成, 比如說要記得擦螢幕之類, 就像密碼要設長一點, 變化一點一樣. 以我這種記憶差的人, 記那快上百個帳密, 簡直是一項大挑戰, 我寧願用指紋, 畢竟, 我又不是身負國家核武機密, 一秒鐘也沒有幾十萬上下, 有必要去為難自己嗎?
jimjordan wrote:
這怪客組織好專業阿!...(恕刪)
http://www.ccc.de/en/
The Chaos Computer Club e. V. (CCC) is Europe's largest association of hackers. For more than thirty years we are providing information about technical and societal issues, such as surveillance, privacy, freedom of information, hacktivism, data security and many other interesting things around technology and hacking issues. As the most influential hacker collective in Europe we organize campaigns, events, lobbying and publications as well as anonymizing services and communication infrastructure.
內文搜尋
從 APP 打開
X