學研社
網絡管理者應加強安保,與用戶共同維護賬戶安全。資料圖片
文:吳桐山
早前,Facebook就出現嚴重的資訊安全漏洞,外洩全球超過5.33億用戶的資料,其中牽涉293萬位香港用戶。近年網絡保安備受重視,各種服務日益依賴網絡,服務供應商為了避免被盜,設計出愈來愈複雜的密碼要求,但到頭來只是把責任推給用戶。是否愈複雜就愈安全呢?答案是否定的。但網站管理者出於卸責考慮,通常都會將密碼規則設計得非常複雜,最後只會惡化了使用者的體驗。
筆者日前透過康文署的「康體通」預定場地,不慎忘記密碼,只好申請更改密碼。系統對密碼的要求非常嚴格:要求有英文字母、數字、特殊符號,還必須至少有一個字母是大寫,這還不算是最離譜的,最離譜的是「不能設為最近八次用過的密碼」,這就意味著,用戶必須要準備九個或以上非常複雜的常用密碼。試問一個普通市民,怎麼可能記住九個或以上的複雜的常用密碼?
你可能會說,只要記住密碼,不更改就好了。但是系統每過幾個月就會彈出提示,強制你修改密碼。「不能設為最近八次用過的密碼」,這刷新了我的認知。密碼是為了保護賬戶不易被別人識破,理論上愈複雜的密碼愈安全。我們用信息學中的「信息熵」(對信息多少的量化稱為信息熵)作爲評估密碼強度的標準,其計算公式爲H=L*log2N,密碼強度(H)與密碼長度(L)和字符種類(N)兩者有關。我們從公式得知:密碼長度愈長,字符種類愈多,密碼強度就愈高。
我將破解密碼的方式分為線上和離線兩種。線上模式,是黑客在網站上利用你高概率的密碼嘗試登入,這會受到網站登入次數的限制。如果你的密碼是電話號碼、生日、人名等,就會很容易被駭客猜到和破譯,但只要有中等強度的密碼,黑客在有限的登入次數內,基本不會猜到,那就起到了保護賬戶的作用。離線模式,是黑客先竊取網站的密碼檔,然後就可以把這個密碼檔在線下暴力破解,沒有了破解次數的限制。如果能拿到密碼檔,理論上就不存在破解不了的密碼,這只是個時間問題。百萬次暴力破解強度的密碼,與上千萬次暴力破解強度的密碼,破解難度的差別只在於幾個小時而已,最終密碼都會被破解。
小結一下,對於有密碼登入次數限制的網站,中等強度的密碼就夠用;而對於出現安保漏洞的網站,如果密碼檔被整個竊走,那任何密碼都是「無掩雞籠」。在密碼保護上,網站更多的是從技術的角度來考慮,而常常忽略了人的因素。根據心理學的研究,人的記憶是有規律的,用戶不可能去記住一串沒有意義的隨機字符。用戶為了迎合網站對複雜密碼的要求,基於記憶的方便而選擇結合電話號碼、生日、人名等這些高頻信息,或者直接把密碼儲存在雲端,反而大大增加了被黑客破譯的風險。密碼安全的關鍵點在於網站本身,如果網站被駭客竊走了密碼檔,任何複雜的密碼都無補於事。
「康體通」竟然要用戶準備至少九個複雜的常用密碼,是強人所難。這是康文署試圖把密碼保管的責任推卸到使用者的一種做法。如果只要求用戶設置中等強度的密碼,一旦網站的密碼檔被洩漏,康文署的官員有口難辯。但假如網站已經要求用戶設置「九個」超級複雜的密碼,這時網站的密碼檔被洩漏,康文署的官員就有了「卸膀」的藉口:我已經做得足夠好,只能歸咎於黑客太可怕了。
作者為學研社成員、時事評論員
Comments