還在用英文單字當密碼嗎？趕快換吧！簡單易猜密碼成為資安大漏洞

你知道嗎？駭客要入侵系統最首先使用的不是高科技手法，而是密碼猜猜看。而商業系統的通關密碼其實也不是太難猜，最常見的就是「Password1」。

「Password1」會成為流行的密碼是有其科技上的原因，首先這組密碼擁有大寫字母、有 1 個數字、有 9 個英文字，這符合於大多數系統密碼設定的安全要求。

《CNNMoney》報導，資安公司 Trustwave 在調查了將近 200 萬個網路漏洞和 300 件最近的資安調查後，在其最新發布的《2012 全球安全報告》中率先點出了「Password1」的問題。

在企業調查中，Trustwave 發現有將近 5% 的密碼使用了「password」，排名在後的則是「welcome」約有 1%。

去年 Trustwave 為客戶系統做資安測試中發現，容易猜出或是完全空白的密碼是最常見的漏洞。Trustwave 設定了一組破解密碼的組合工具，測試 250 萬密碼當中成功地破解了 20 萬組。

Verizon (VZ-US) 2012 年的資訊外洩報告中也有類似的結論，利用薄弱、易於猜測的密碼進攻是去年排行第一的攻擊手法，根據 Verizon 調查，有 29% 的資安外洩都與之相關。

Verizon 最駭人的發現就是，這些駭客行動在被發現前，往往都已經潛伏在受害者網路內達數月，甚至數年之久，只有不到 20% 的案件是在數日之內發現。

更可怕的是，幾乎沒有公司會自己察覺資料外洩了，有超過 2/3 的美國企業都要等到例如執法機構等第三方通知才驚覺自己的資料外洩了，Trustwave 調查的結果也近似，只有 16% 的企業會由內部自行發現資料外洩。

那麼到底要怎麼加強密碼的安全性呢？讓密碼變得更長！

要增加密碼的複雜性，不要使用已知單字，要在單字中加入符號、數字，避免遭受所謂的「字典攻擊」。且現在駭客使用的密碼攻擊工具越來越使用蠻力，會利用循環一一測試所有可能組合，所以最好的方法就是增加密碼長度，因為一組 7 位數的密碼可能以 70 兆組合，8 位數就需要 6 萬億組組合。

但儘管如此，運用現在發達的電腦科技破解上萬億的密碼組合其實也非太難的事，資安專家 Dan Kaminsky 就說，我們可能必須要用到超過我們記憶所及的密碼長度才能避免破解。

Kaminsky 承認這是場密碼保衛戰是一場艱困的戰鬥，他說：「密碼絕對簡單的特性讓它能夠適用於各種設備上的認證機制，這是密碼的勝利，但這也是它的弱點。」