美媒實測：駭客在1小時內可解鎖上萬組密碼

Ars Technica實驗發現，1.65萬組的加密密碼Steube與radix在一小時內分別解鎖了82%與62%的密碼組，Gosney則花了20個小時解鎖了9成的密碼，在一小時內就被解鎖的密碼中，還包含像是qeadzcwrsfxv1331等長度多達16字元的密碼。

美國科技網站Ars Technica最近邀請3名駭客進行密碼解鎖的實驗，以了解已加密密碼的安全性，然而，實驗發現，就算外洩的密碼不是明碼文字，而是以加密的雜湊（hash）碼形式呈現，這些駭客仍能在1小時內解鎖逾1萬筆密碼，其中還包含長達16字元、夾雜英文與數字的密碼。

Ars Technica是從網路上下載約1.65萬組的加密密碼，並邀請來自Stricture Consulting Group的密碼專家Jeremi Gosney、來自oclHashcat-plus的開發人員Jens Steube，以及代號為radix的駭客進行解鎖密碼的實驗。

為了保障使用者的安全，有不少網站於伺服器端儲存的是已加密的雜湊密碼，例如實際為arstechnica的密碼會變成c915e95033e8c69ada58eb784a98b2ed，當使用者在登入時輸入的仍是arstechnica，但網站會將其加密並與伺服器端儲存的密碼進行比對。

不過，Ars Technica實驗發現，Steube與radix在一小時內分別解鎖了82%與62%的密碼組，Gosney則花了20個小時解鎖了9成的密碼，在一小時內就被解鎖的密碼中，還包含像是qeadzcwrsfxv1331等長度多達16字元的密碼。

這些駭客利用字典及蠻力解鎖法（brute-force crack），從解鎖順序可發現，愈短的密碼愈容易解鎖、單純使用文字或數字的密碼也愈容易解鎖、只使用字典中的詞彙也很容易解鎖。

除了上述專家外，沒有技術背景的Ars Technica副主編Nate Anderson也加入了這項實驗，他在5月的某天早上才學會如何解鎖密碼，但當天就解鎖了8000組，他說，即使他知道解鎖密碼不難，但沒想到竟是如此容易。他只是上網下載了用來解鎖的加密密碼，下載了密碼解鎖器、找到生字資料庫，然後就成功了。

從Ars Technica的實驗看來，不論網站儲存使用者密碼時是採用清楚的文字或是加密的雜湊碼，一旦外洩，便很難保障使用者的帳戶安全，不過，近來業者已開始推動以生物辨識取代密碼輸入，Google亦正在研究如何以實體裝置來取代密碼。（編譯/陳曉莉）
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您\*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "韓流瘋"及" 爆爆遊樂園",
韓流瘋 及 爆爆遊樂園 不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第118波大放送) : 人人回帖有獎勵
(第117波大放送) : 人人回帖有獎勵
(第116波大放送) : 人人回帖有獎勵
(第115波大放送) : 人人回帖有獎勵
(第114波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>

**以上報告完畢**
如果可以的話,幫我評個分數或是送一多花給我^^
您的評分與鮮花,是我下次再發帖的原動力
謝謝~
====================================================
                                                                                   2013/05/29 By 游幃翔

以前總認為密碼長度有12位以上就很難解鎖
結果這消息完全顛覆原本認知
所有為了資料不外洩
一些重要網路資料還是要常變更密碼
這樣就算被解鎖了也還能再次鎖閉