【大纪元5月29日报导】(中央社伦敦28日综合外电报导)科技网站透过实验证明,就算是长达16个任意字元所组成的密码,骇客也能在不到1小时内成功破解。不过网站建议,密码还是越长越好,且11字元以上的比较安全。
科技网站Ars Technica从列有1万6449个密码的清单当中,破解超过1万4800组密码。3名骇客联手替网站进行这项实验,成功率为62%到90%,连“qeadzcwrsfxv1331”这种组合也被破解。
这3名骇客也公布他们如何破解密码,和破解密码的传统手法。
骇客要猜测密码时,不是重复在网站上输入密码,而是透过网路上取得所谓的“杂凑密码”(hashed passwords)清单以破解密码。
“杂凑”是让使用者加密前的密码,透过不可逆算法产出由数字和字母组成的独特字串。这样骇客难以从加密后字串推回到原本的密码,网站储存时也是储存杂凑密码以加强安全。
假使杂凑密码清单遭窃取,有心人士也难以破解原本的密码,不过网站实验证实,这非毫无可能。
其中1名骇客、Stricture Consulting Group的创办人与执行长葛斯尼(Jeremi Gosney)透过密码破解手法,解出1万多组密码。
一开始,葛斯尼用“暴力破解法”(Brute-force Attack)破解1到6字元的密码。
他透过这种方法,在2分钟32秒内找出1316组加密前的密码。葛斯尼又以相同方法,找出1618组7或8字元的密码。
第二种破解法是除了暴力破解法之外,再加上“字典攻击法”(dictionary attack),成为混和式攻击法。他在5小时又28分钟内,破解共1万2935组密码。
根据这项骇客实验,以8字元以下真实词汇组成的密码相当容易被破解。Ars Technica建议,为了安全,最好直接用11字元以上的密码
Ars Technica说:“读者应要花时间确定所有密码最少都是11字元,包含大小写字母和数字。最好也不要长得像某种模式。”
