口令破解不难 11字以上较强

ysc

中央社╱伦敦28日综合外电报导】 2013.05.29 01:41 pm

  

科技网站透过实验证明，就算是长达16个任意字元所组成的口令，黑客也能在不到1小时内成功破解。不过网站建议，口令还是越长越好，且11字元以上的比较安全。

科技网站Ars Technica从列有1万6449个口令的清单当中，破解超过1万4800组口令。3名黑客联手替网站进行这项实验，成功率为62%到90%，连「qeadzcwrsfxv1331」这种组合也被破解。

这3名黑客也公布他们如何破解口令，和破解口令的传统手法。

黑客要猜测口令时，不是重复在网站上输入口令，而是透过网络上取得所谓的「杂凑口令」（hashedpasswords）清单以破解口令。

「杂凑」是让使用者加密前的口令，透过不可逆算法产出由数字和字母组成的独特字串。这样黑客难以从加密后字串推回到原本的口令，网站储存时也是储存杂凑口令以加强安全。

假使杂凑口令清单遭窃取，有心人士也难以破解原本的口令，不过网站实验证实，这非毫无可能。

其中1名黑客、Stricture Consulting Group的创办人与执行长葛斯尼（Jeremi Gosney）透过口令破解手法，解出1万多组口令。

一开始，葛斯尼用「暴力破解法」（Brute-forceAttack）破解1到6字元的口令。

他透过这种方法，在2分钟32秒内找出1316组加密前的口令。葛斯尼又以相同方法，找出1618组7或8字元的口令。

第二种破解法是除了暴力破解法之外，再加上「字典攻击法」（dictionary attack），成为混和式攻击法。他在5小时又28分钟内，破解共1万2935组口令。

根据这项黑客实验，以8字元以下真实词汇组成的口令相当容易被破解。Ars Technica建议，为了安全，最好直接用11字元以上的口令

Ars Technica说：「读者应要花时间确定所有口令最少都是11字元，包含大小写字母和数字。最好也不要长得像某种模式。」

wsjboy

难啊，不被破解？