網際論壇 - Powered by Discuz! Board

標題: [閒聊]密碼難到記不住真能防駭客？ [打印本頁]

作者: health101dr 時間: 2015-5-13 05:58 PM 標題: [閒聊]密碼難到記不住真能防駭客？

從「英數鎖」被研發出來後，「設定密碼」這件事就開始困擾著所有使用者。也許我們會用生日、手機號碼做為密碼來源，但很多專家告訴我們那樣的密碼並不安全，我們改用一些單字、名字來當密碼，又有專家說採用暴力攻擊法可以在幾秒鐘就把我們的密碼破解，於是密碼越設越複雜，而大家也越來越記不住自己的密碼。

不要採用人們最常使用的密碼來源，例如生日、姓名縮寫、手機號碼等，因為這也是駭客最先會猜測的密碼，這些告誡是有道理的。不過隨著電腦技術越來越進步，駭客開始使用「暴力攻擊法」。暴力攻擊法就是將所有密碼的可能組合全部嘗試解密，因此，密碼就需要更高的強度才能抵抗，衍生出各種保護密碼的理論，也有各式各樣的專家建議，甚至有所謂的密碼產生器，隨機幫你設定一組密碼，這種密碼你幾乎無法背下來。

舉例來說，你能夠記住「tincan24」這組密碼，但為了增加密碼強度，換了你完全背不起來的「7Qr&2M」，兩組密碼何者對你比較好？或者哪一組密碼對駭客來說較難破解？答案是「沒有差別」，在暴力攻擊法的衝撞下，花一小時破解與三小時破解並沒有差別。

如果密碼檔洩露了，網站及早發現並發出警告，強迫使用者更換密碼，那麼你的機密依然是安全的；或者網站架構上有對密碼檔利用金鑰進行加密，駭客也不見得能破解金鑰。就怕網站並沒有對使用者的密碼檔本身有任何的保護，不管你密碼設得再強，如果網站方根本就對保存你的密碼這件事情不加重視的話，你就算真的設成「7Qr&2M」，也完全沒用。

這時就有一個問題了，為什麼廠商還要建議你設立「7Qr&2M」這一類的密碼？

事實上，這是網站或是廠商試圖把密碼保管的責任推卸到使用者的一種做法。要讓使用者透過設定一連串複雜而難記的密碼，去解決暴力攻擊法的問題是不切實際的。只有從網站的架構或是應用程式端，真正做到防止密碼檔洩露，並對密碼檔加密保護，才是根本的做法。

【101創業大小事／整理報導】

完整內容→http://www.101media.com.tw/content/vRZRTtrYVJqU9bf3g1MwIslNm2o9ak

作者: catsndogs 時間: 2015-5-13 11:59 PM
喔！還真被網站給呼巄了？
搞得自己解不開，卻被駭客給破解了；最糟糕的是：自己還不知道耶！

Thanks!
Good!

歡迎光臨網際論壇 (http://www.centurys.net/)