◎ 莊博文

筆者最近拜讀了沈榮欽教授的臉書文章，原文是「微軟想測試一下AI破解密碼的能力，於是設計了PassGAN去破解密碼，發現51％的密碼可以在一分鐘內破解，65％一小時內，71％一天內，81％一個月內。AI遲早會被用於破解密碼，說不定已經在進行了，而且隨著AI進步神速，破解密碼只會越來越容易，專家建議要保護機密資料，請用18位數的密碼，而且加上大小寫等各種特殊符號。」

一看到「請用18位數的密碼」這句，不禁讓筆者馬上想起一則英文漫畫，大意是：假設網路上的駭客以每秒輸入一千組排列組合（字典攻擊或其他方式），試圖盜用他人的帳號密碼，若密碼的最大長度是28位（包含英數字以及特殊符號），理論上破解需要三天；若密碼的最大長度是44位，理論上破解需要550年。漫畫的最後，作者下了一個有趣的結論：Through 20 years of effort, we’ve successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess.（經過了二十年以上的努力，我們終於成功訓練每個人使用的是人類很難記住，但電腦很容易破解的密碼）。

請繼續往下閱讀...

因此，若要下一個簡單的大原則，那就是與其使用像Tr0ub4dor&3這種「大小寫加上各種特殊符號」的密碼，倒不如使用像correcthorsebatterystaple這種長度更長、理論上駭客需要花N倍時間才有可能破解、而且使用者更容易記住的密碼。

事實上，根據美國NIST Special Publication 800-63B的文件，它提出密碼的創建和使用有以下的大原則：

一、長度比複雜度更重要

二、定時更改密碼並沒有太大的優點

三、輸入密碼時應該讓使用者有管道可以看得到

四、應該允許使用者可以用複製、貼上的方式輸入密碼

五、不建議提供密碼提示

六、應該限制密碼可以嘗試的次數

七、多因子認證（譬如OTP之類一次性的驗證碼、指紋辨識等）

至於隨著AI進步神速，破解密碼只會越來越容易這類重大的問題，我想除了民間、企業本身需要與時俱進，唐鳳部長所領導的、每年預算幾十億起跳的中華民國數位發展部，應該也有很大的發揮空間以及需要扮演的重要角色才是。

（作者為軟體工程師，台北市民）

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法