◎ 莊博文
筆者最近拜讀了沈榮欽教授的臉書文章,原文是「微軟想測試一下AI破解密碼的能力,於是設計了PassGAN去破解密碼,發現51%的密碼可以在一分鐘內破解,65%一小時內,71%一天內,81%一個月內。AI遲早會被用於破解密碼,說不定已經在進行了,而且隨著AI進步神速,破解密碼只會越來越容易,專家建議要保護機密資料,請用18位數的密碼,而且加上大小寫等各種特殊符號。」
一看到「請用18位數的密碼」這句,不禁讓筆者馬上想起一則英文漫畫,大意是:假設網路上的駭客以每秒輸入一千組排列組合(字典攻擊或其他方式),試圖盜用他人的帳號密碼,若密碼的最大長度是28位(包含英數字以及特殊符號),理論上破解需要三天;若密碼的最大長度是44位,理論上破解需要550年。漫畫的最後,作者下了一個有趣的結論:Through 20 years of effort, we’ve successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess.(經過了二十年以上的努力,我們終於成功訓練每個人使用的是人類很難記住,但電腦很容易破解的密碼)。
因此,若要下一個簡單的大原則,那就是與其使用像Tr0ub4dor&3這種「大小寫加上各種特殊符號」的密碼,倒不如使用像correcthorsebatterystaple這種長度更長、理論上駭客需要花N倍時間才有可能破解、而且使用者更容易記住的密碼。
事實上,根據美國NIST Special Publication 800-63B的文件,它提出密碼的創建和使用有以下的大原則:
一、長度比複雜度更重要
二、定時更改密碼並沒有太大的優點
三、輸入密碼時應該讓使用者有管道可以看得到
四、應該允許使用者可以用複製、貼上的方式輸入密碼
五、不建議提供密碼提示
六、應該限制密碼可以嘗試的次數
七、多因子認證(譬如OTP之類一次性的驗證碼、指紋辨識等)
至於隨著AI進步神速,破解密碼只會越來越容易這類重大的問題,我想除了民間、企業本身需要與時俱進,唐鳳部長所領導的、每年預算幾十億起跳的中華民國數位發展部,應該也有很大的發揮空間以及需要扮演的重要角色才是。
(作者為軟體工程師,台北市民)
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
《自由共和國》來稿請附:真實姓名、身分證字號、職業、通訊地址及戶籍地址(包括區里鄰)、夜間聯絡電話、銀行帳號(註明分行行名)及E-mail帳號。
刊出後次月,稿費將直接匯入作者銀行帳戶,並以E-mail通知。
文長1200字以內為宜,本報有刪改權,不願刪改者請註明;請自留底稿,不退稿;若不用,恕不另行通知;請勿一稿多投。
《自由共和國》所刊文章、漫畫,將於 「自由電子報」選用,不另外奉酬。
Email:republic@libertytimes.com.tw