當你看到「123456」這串數字,會聯想到什麼?
連專家自己都做不到
當你看到「123456」這串數字,會聯想到什麼?
沒錯,這就是「最糟密碼」排行榜上,蟬聯多年的第一名。這組密碼到底有多受歡迎?根據資訊安全管理公司SplashData的統計數據顯示,從2013年開始這五年來的第一名,居然從來都沒有改變過,就是這串數字:123456。
SplashData的個人用戶超過一百萬人,以北美、歐洲為主。如果覺得代表性不夠高,沒關係,另一家專做智慧型手機密碼管理程式的公司Keeper,全球用戶九百萬人,公布了2016年最常用密碼,也是123456。同時,該公司甚至統計了使用這組密碼的用戶比例,竟然高達百分之十七。
日本網路安全公司Soliton,在2017年也曾經公布日本人最愛用123456當密碼;2017年十二月,美國網安監測公司4iQ在暗網(DarkNet)破獲了一個非法竊取的資料庫,數量驚人,共有十四億筆個人登錄資料,其中最常用密碼,也是123456。這還沒完。就連男女雙方行事必得特別小心的,知名偷情網站Ashley Madison用戶,最常用的密碼,還是123456!
換句話說,這年頭想當駭客,幾乎已經毫無門檻可言了。只要拿著123456這組密碼,登入七個帳號,就可能順利破解一個。如果再加上「最糟密碼」排行榜的其他選項,入侵帳號的成功機率恐怕更高。
儘管資安專家經常跳出來呼籲,千萬不要使用「最糟密碼」榜單裡的任何一個,更不要使用家人、親友的姓名、生日當密碼,但多年下來,大家還是做不到。事實上,別說是一般人,就連專家自己都做不到。
2012年,FBI策畫了一項祕密行動,準備逮捕一名頭號通緝犯,網路駭客傑里米□哈蒙德(Jeremy Hammond)。這名駭客早就惡名昭彰,他曾領導過多個非法駭客組織,入侵、癱瘓美國國防部、國土安全部、公共廣播服務等網站,前科累累。
這一次,他又涉嫌竊取美國全球安全智庫「戰略預測公司」(Stratfor)超過五百萬封電子郵件,提供給「維基解密」公諸於世。
為了確保行動成功,FBI吸收了一名改邪歸正的駭客「薩布」(Sabu),派他當臥底,博取傑里米的信任,藉此監控其行蹤,再根據薩布的情報,攻入傑里米的芝加哥住處,將他逮捕。可是,卻找不到定罪證據。
為此,FBI決定設法破解他的電腦,但探員們萬萬沒想到,居然一下子就成功了。因為,密碼是傑里米愛貓的名字Chewy,後面加上123。很快地,FBI從傑里米的電腦裡起出多項鐵證,上呈法庭,順利將他定罪,判刑十年。傑里米這才省悟,他把密碼設得太簡單了。
增加密碼長度更有效
2016年,駭客組織OurMine Team宣稱他們破解了臉書創辦人馬克□祖克柏的Twitter和Pinterest帳號,還揭露了他的密碼dadada——拿去做密碼強度測試,得到零分。
種種事例,不禁引人高度好奇,究竟是什麼原因,才會使人類寧可置身在網路風險之中,也不願意去設定一組複雜的密碼保護自己?
美國神經科學家保羅□麥克連(Paul D. MacLean),有個知名的人腦構造理論,叫作生物演化的「三重腦」(Triune),分別是掌管生存本能的「爬蟲類腦」、掌管記憶與情感的「哺乳類腦」,以及掌管思考的「靈長類腦」。
遠古時代,無論天災、獸襲,均來自周遭環境。想要居安避危,只要觀察眼前的處境,是否會直接對生命造成威脅,即能迅速做出判斷。這時,人類與其他生物毫無差異,使用的都是「爬蟲類腦」。
當人類文明益加進步,建立了安全的生活環境,社會運轉機制卻變複雜了,得失利害盤根錯節,難以釐清,危險藏在難以察覺之處,這時,得使用「靈長類腦」徹底解析,才能有效洞穿。
網路環境,恰好構成了人類的感知衝突。人在舒適的家裡上網,充滿安全感,「爬蟲類腦」跟著沉眠;大量資訊的不斷刺激,使「靈長類腦」鈍化,至於網路環境是否安全,則再也無法做出精確判斷。腦部為了即時獲得「情報」樂趣,勢必會設法加速「通行手續」,於是,簡單、好記的密碼,便順理成章地變為首選了。
這也正是為什麼,美國國家標準技術中心(NIST)的學者比爾□伯爾(Bill Burr)在2003年提出的安全密碼建議:必須是大小寫字母與數字混合、無意義的字串,所有網站都不能重複,還得三個月換一次……這種整人規則根本無法遵守的主因。更令人洩氣的是,這套規則後來還被證明沒什麼用,單純增加密碼長度更有效。2017年,七十二歲的伯爾已經退休,接受《華爾街日報》訪問時,說他害大家浪費了十四年時間,拍謝!
那麼,密碼太簡單,真的百害而無一利嗎?不。2017年十二月,德國柏林有個九歲男童,捉迷藏時意外把自己鎖進一個閒置多年的老保險櫃。唯一知道密碼的是已逝的祖父。家人立刻求救,消防隊一邊從櫃門縫隙中灌入氧氣,一邊試了生日、紀念日等各種數字,全都無效。三小時後,保險櫃依然不動如山。當消防隊決定強行破壞櫃子之際,有人靈機一動,輸入了六個數字,驚險救出男孩。
新聞沒有提到是哪六個數字,但我一直相信,就是「123456」。
沒有留言:
張貼留言