台灣人不要以為用注音符號排列轉成英數字當密碼就萬無一失阿,早就有駭客發現台灣人有這種習慣,然後就被很輕易的破解。
台灣大多數的人都習慣使用注音系統,因此也有不少人將注音較特殊的拼音按鍵排列方式作為「暗語」,甚至進一步作為個人帳號密碼使用,在目前越來越多帳號系統要求以複雜英數組合作為密碼的情況,透過個人容易記憶詞彙的注音按鍵排列作為密碼,似乎對習慣使用注音系統的人特別方便。不過,這樣的密碼生成方式顯然很快就會被人輕易攻破。
本身從事硬體與軟體工程師的Twitter用戶Robert Ou發現,在Have I Been Pwned網站輸入「ji32k7au4a83」字串比對的話,可以發現至今已經被盜用超過141次,而輸入「au4a83」更是高達1495次以上。
若熟悉使用注音系統的話,應該不難發現兩組字串分別對應「我的密碼」,以及「密碼」詞彙的注音按鍵排列,亦即許多習慣使用注音系統的人 (多半以台灣人居多)以此作為個人帳戶密碼,而即便不是用這兩種詞彙的注音按鍵排列作為密碼,很多恐怕也是一樣藉由其他詞彙的注音按鍵排列產生「密碼」作為個人帳號登入使用。
雖說對於不熟悉注音系統的人而言,這樣的英數排列並沒有特別意義,可是若對於同樣熟悉注音系統按鍵排列的駭客,只要知曉使用者可能會透過哪些詞彙作為個人密碼的話,這樣的密碼防護效果自然就會大幅降低。
目前以「ji32k7au4a83」或「au4a83」字串作為密碼的話,建議還是趕快更換一組密碼確保個人帳戶安全,同時如果要以相同邏輯建立全新「密碼」的話,或許還是嘗試以不同詞彙,或是加入更長字串內容強化密碼強度,其中最好避免與個人生活有太大相關,避免駭客利用個人生活相關資訊嘗試破解。
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— Robert Ou (@rqou_) March 1, 2019
1 則回應