iPhone密碼被公開、GPU極速破解密碼,教你建立高強度密碼

氣象部落客勞倫斯

最近有不少破解密碼的新聞,首先是有人發現用顯示卡GPU暴力破解密碼的速度比CPU還快,用ATI Radeon HD 5770只要1秒鐘就解出5位數密碼;也有iOS程式開發者提出數據,公佈iPhone最熱門10大密碼,不少人的密碼都名列其中。我們該如何有效建立更安全的密碼呢?

iOS用戶最愛用密碼前10名

iOS程式開發者Daniel Amatay,日前針對20萬名iOS用戶進行匿名調查解鎖密碼,發現15%的用戶是使用最常見的10組密碼,不用幾次便能輕易破解。(現在想想覺得好恐怖)

▲iOS裝置最熱門10組解鎖密碼。

▲iOS裝置最熱門10大解鎖密碼群組。

最常見解鎖密碼不外乎是以連續數字、或是將鍵盤數字鍵串聯起來(如2580)為大宗,光是用1234和0000作為解所密碼的使用者就高達10%。另外也觀察到10大常用群組,以199*、198*(*為0~9)最常見,通常是以出生或畢業年份作為密碼。

如要增加密碼難度,可進入「設定」→「一般」→「密碼鎖定」中變更密碼設定,預設為簡易密碼,只提供4個數字的基本密碼,如果把簡易密碼關閉,即可設定英文加數字的密碼,字元長度亦不限,可大幅降低被破解的風險。

 

顯示卡GPU取代CPU成為暴力運算新選擇

這其實不是新聞了,Ivan Golubev這位老兄擅長透過顯示卡GPU龐大的平行運算效能來猜密碼、也就是所謂的暴力破解(Brute Force)方式,將RAR PASSWORD RECOVERY測試結果、IGHASHGPUSHA1/MD5/MD4 hash cracker)、MS Office and OpenOffice password recovery測試結果分享在golubev.com網站和部落格中,將近100張顯示卡的測試數據建立成龐大的GPU運算效能資料庫

▲用ATI Radeon DH 6990破解7位數的MD5密碼,只花上5秒鐘,不過運算速度還是比ATI Radeon HD 5970慢了10%。(圖片來源:golubev.com

▲2010年10月統計的顯示卡RAR 3.x performance效能,ATI Radeon HD 5970有3200個SP/ALU,因此奪下超高分。(圖片來源:golubev.com

(後面還有:建立超難破解密碼教學)

如何建立安全有效的密碼

破解密碼有兩個方式,一個是暴力破解,一個是字典破解。雖然對暴力破解法而言幾乎是沒有破解不了的密碼,但是當破解字元很長且複雜的密碼時,就必須花上大量的時間,由於時間成本太高,破解後也不見得有什麼好處,所以正常的駭客並不會多費功夫破解你的密碼。

如何有效提高密碼被破解的難度,原則是讓密碼長度越長、越複雜越好,以及避免使用有意義的單字。微軟網站也提供以下要點供網友參考。

盡量避免使用的密碼:

一些用來建立密碼的常用方法很容易被駭客猜到,例如「12345678」、「222222」、「abcdefg」等鍵盤上的相鄰字母,或是用外觀類似的常用符號替代;像abc123這類大家常用的密碼都已經被編成破解字典的單字。。

其次是密碼中使用與自己身份相關的姓名、生日、身分證字號或配偶的類似資訊。使用有意義的單字也容易被破解,駭客的破解工具中可透過拼字法則,如字典收錄句詞、常見拼寫錯誤法則,加快破解時間。

建立強式密碼

該如何建立不易被破解的密碼呢?最好的方式是建立強式密碼(Strong Password)。微軟網站有介紹什麼是強式密碼,以及提供強式密碼的建立方式。

強式密碼原則:

有些系統支援在密碼中使用空格鍵,可建立由許多字組成的短語,也就是密碼短語,比起沒規則的密碼更容易記住。此外密碼的字元變化越大,越難猜出密碼,簡單的方式是增長密碼長度,15個英文字母及數字組成密碼的安全程度,是8個字元的33,000倍;如果允許英文字母、數字、符號組成密碼,也會讓字元變化越大,達到與較長密碼相同的效果。

大家最不願意使用強式密碼的原因之一,就是自己會記不住密碼。人的腦袋記憶力有限,最好的方式其實是把密碼寫在紙本上,並妥善保存好,相較密碼管理程式、網站等,寫在紙上的密碼反而不會藉由網際網路外洩。如果真的害怕紙本上的密碼被人竊取,也能在紙本上的密碼動手腳,例如字元位移、數字加減固定數字,例如把dk3x8字元向後位移2格、數字減2,成為1x6dk

建立強式密碼並輕鬆記住的6個步驟:

  1. 想一個能記住的句子:做為密碼的基礎,例如An apple a day keeps the doctor away
  2. 檢查電腦或線上系統是否直接支援密碼短語:如果有支援的話,即可在各字元間加上空格
  3. 如果電腦或線上系統不支援使用密碼短語,請將其轉換成密碼例如取每個字首,成為aaadktda
  4. 將大小寫字母及數字混合使用,以增加密碼複雜程度 例如AaAdKtDa1984
  5. 最後,取代某些特殊字元可以使用類似字母的符號、組合字,例如@aAdktDa1984
  6. 使用密碼檢查程式測試新密碼密碼檢查程式可以協助判定密碼的安全程度。

除了用上述的方法命名強式密碼外,我們也可以借用中文輸入幫忙,例如在英文輸入法中,以新住音輸入法的方式打出「我不想工作」的按鍵順序「ji31j6vu;3ej/ yji4」,一樣可達成強式密碼的效果。

另外,筆者有個同事使用嘸蝦米輸入法,他先想出一個3個字的名詞,例如「蛋包飯」,然後把輸入「蛋包飯」的按鍵「yzcnlxlu」做為密碼,也是個很不錯的方式。

看完了建立強式密碼的方法,你有什麼好點子嗎?請留言跟大家分享喔!

原文網址:https://t17.techbang.com/topics/5629-iphone-password-is-public-gpu-speed-crack-password-you-how-to-create-strong-passwords?page=1