文字密碼夠長夠複雜就夠保安? Microsoft:「無用」

文字密碼為沿用多年的用戶帳號第一道防線,一般而言,文字密碼的長度與複雜度的確有助加強所屬帳戶的安全性,但隨着黑客的行動手段不斷翻新,以長度及複雜度就能夠於時下實際環境中加強帳號的保護性嗎?據 Microsoft 日前的報告反映,答案是否定的。

文字密碼為沿用多年的用戶帳號第一道防線,一般而言,文字密碼的長度與複雜度的確有助加強所屬帳戶的安全性,但隨着黑客的行動手段不斷翻新,以長度及複雜度就能夠於時下實際環境中加強帳號的保護性嗎?據 Microsoft 日前的報告反映,答案是否定的。

 

高強度與中強度密碼的分別非安全性,而是時間

開設帳號服務供應商總會要求用戶的密碼長度至少含 6 個字元,至少包含大階、小寫英文字母、數字、符號等組成,不應與用戶名稱重覆等要求。而隨着黑客的攻擊手法不斷更新、出現「暴力攻擊法」等工具與各種新式攻擊手法的混合使用後,密碼的長度與複雜度就不斷被強化,至難以被記住的地步。

據 Microsoft 早前的研究報告指,原來高強度密碼獲得的安全性與中強度的密碼無甚差別。因為若黑客使用周全的工具及有組織、計劃地破壞用戶帳號的話,密碼被破解就只為時間問題。

 

若黑客採用在線模式發動攻擊,依然會受到網站登入次數與其它保安機制所限;但若黑客使用離線攻擊 – 先竊取服務的密碼檔再進行破解,中強度與高強度密碼的分別只為破解時間由數小時增至數十小時而已,密碼最終都會被黑客成為破解。

Microsoft 的報告指,保存密碼的責任不應推卸至用戶身上,而應由服務供應商方面負責。並指若密碼檔洩露,服務商應及早發出警告,強迫用戶更新密碼,以保持用戶資料的安全性及除去離線暴力攻擊的威脅。

 

更高階的服務就應於架構上,套用金鑰對密碼檔進行加密,就能夠對用戶的密碼提供一定的保障。而近年爆出的密碼洩漏事故多為服務原本就未有對用戶的密碼檔進行任何加密,甚至直接以明文保存,令用戶群的密碼對黑客而言可謂伸手可及。

Microsoft 的報告內容主要解析指雖然用戶的確對自己帳號密碼的設置有一定責任,但單單要求用戶設定一連串 30 字元長度的複雜密碼非解決暴力攻擊的問題,只為不切實際的舉動。

只有服務供應商由根本的服務架構或應用程式上套用真正的密碼檔防洩機制,並對密碼檔加密保護,方為有效之法。

Source:Microsoft Research