2012年2月26日 星期日

從背包客棧事件談重複使用密碼的危險

背包客棧被入侵,站長請大家立即更改密碼 是今天台灣網路上最重要的大事。

國內最大旅遊論壇「背包客棧」遭駭!籲會員速改密碼 | NOWnews 今日新聞網

雖然只要稍有常識的網站,在儲存用戶密碼時,都會經過單向加密處理,沒有方法可以直接反轉這些亂碼來取得你的密碼。就算駭客成功入侵了背包客棧,偷到了背包客棧的密碼檔,也只會得到如同以下的亂碼資訊,沒有辦法直接知道你的密碼是什麼。

Linux 密碼檔內容實例(密碼已經更改了,請各方駭客大哥不要幫我們測試機器)

但是,凡事都有個但是!如同背包客棧站長所言,只要用上字典法,例如透過這個隨便 Google 找到的程式,將所有單字與字母的組合,用各種加密的方法一個一個嘗試,總有一天可以找到加密後跟上述亂碼一模一樣的字串,也就能夠破解出你用的密碼了。

背包客棧站長的公告

甚至,如果你使用的密碼是常見的密碼(例如這些最常被盜的密碼)或是一般英文單字,都已經有各種演算好的現成對照檔,可以直接比對出你的密碼是什麼。就算你的密碼包含英數字跟符號,結構上非常安全,但是電腦演算的速度的呈現倍數性成長,今天得要嘗試一整天才能試出來的密碼,三年後或許不需一個下午就能算出來了。

更糟糕的狀況是,像大陸去年發生的網站密碼連環外洩事件,不但外洩資料的總數達到上千萬筆(光天涯網就有四千萬個用戶資料外洩),而且外洩的密碼資訊還是明碼。不同於上述加密過的亂碼,這些離譜的網站是直接白紙黑字存下你的密碼,等於直接和盤托出。不要以為只有大陸網站會如此輕易儲存你的密碼,下列就有一長串密碼沒加密的台灣網站,只要其中一個被駭,你的密碼就立刻曝光了。

「我的密碼沒加密」羞恥得獎名單

不要以為網站被駭密碼被偷不會發生,這種連儲存密碼都不用心的網站,還會多認真的去防護你的隱私?回頭想想背包客棧的狀況,你還覺得你的個人資料安全嗎?


結論就是:沒有無法被駭的網站跟絕對安全的密碼,一切都只是時間的問題。如果在每個網站都使用相同的密碼,只要其中一個密碼外洩,你就死定啦。


如果背包客棧的密碼檔真的被偷了,那你到底面對了多大的危險?如果你是 Firefox 的愛用者,前幾天 Mozilla 的 Paul Sawaya 公開的Password Reuse Visualizer 套件,正好可以用圖形化的方式告訴你,在網路上重複使用密碼的狀態。也就是說,你在多少網站使用同一組密碼,如果被解出來了有多嚴重。

請開啟以下網址,到 Firefox 擴充套件網站安裝 Password Reuse Visualize 套件:https://addons.mozilla.org/firefox/addon/password-reuse-visualizer/

安裝完成後,Firefox 最下方的套件工具列(如果沒看到,請選「檢視→工具列→附加元件列」開啟)會出現一個綠色的鎖頭 ,按下去會打開一個新分頁,並且開始分析你在 Firefox 中曾經紀錄過的網站密碼的重複使用狀況。

Password Reuse Visualize 計算中

綠點代表一組密碼,藍點是使用這組密碼的網站,橘點的連線則連接了類似的密碼。等使用狀況大致分析完成後,就可以開始點點看了。

我在背包客棧使用的密碼重複使用狀況

夭壽喔,我還有其他四個網站跟背包客棧使用同樣的密碼,只要入侵的黑客破解出密碼是什麼,其他四個網站就一起被盜,快通通改掉喔……

極為重複使用的密碼

如果你(跟我一樣)很懶,就會看到這種畫面。同時在上百個網站使用一樣的密碼,被盜用的機率也是上百倍。再回頭想想那些連儲存你的密碼都懶得加密的網站,只要這些不用心的網站其中一個被入侵,你在這上百個網站的帳號就通通完蛋了。

你現在知道,重複使用相同的密碼,有多危險了吧?

0 意見: