16字元密碼 駭客1小時內破解
美國科技網站Ars Technica報導,最近邀請三名駭客進行密碼破解實驗,結果即使長達十六字元的無規律字串密碼,駭客也能在一小時內破解。該網站建議,密碼越長越好,且十一字元以上較安全。
密碼越長越好 11字元以上較安全
三名駭客聯手替網站進行這項實驗,從列有一萬六千四百四十九個密碼的清單中,破解超過一萬四千八百組密碼,成功率為六十二%到九十%,連「qeadzcwrsfxv1331」這種組合也被破解。這三名駭客也公布如何破解密碼,和破解密碼的傳統手法。他們是透過一個雜湊(hash)列表來嘗試上網,而不是在網站上重複地輸入密碼。
所謂雜湊加密法是指原始密碼以單向函數處理成一個稱之為雜湊的唯一數字與字母串,例如原始密碼arstechnica轉換後會變成c915e95033e8c69ada58eb784a98b2ed。Stricture顧問公司創辦人兼執行長葛斯尼十六分鐘就破解一萬零二百三十三個「簡單的」雜湊碼,成功率六十二%。二十小時後,他的破解率已達九十%。
這些駭客利用字典攻擊法及蠻力破解法(brute-force crack),還利用稱為「馬克夫鏈」(Markov Chains)的統計學模型,從破解順序可發現,愈短的密碼愈容易破解、單純使用文字或數字的密碼也愈易破解、只使用字典詞彙也很容易破解。該網站建議,最好用十一字元以上密碼,包含大小寫字母和數字,最好也不要長得像某種模式。