Enews404 為什麼我的帳號被盜用了?我明明剛改密碼呀!

出自KMU e-News

跳轉到: 導航, 搜索

高雄醫學大學e快報 第404期  圖資處專題

為什麼我的帳號被盜用了?我明明剛改密碼呀!

■圖書資訊處網路技術組 謝志昌

  為節省您的時間,先說結論 (建議)︰
  1. 重要系統的密碼不應與其他系統或網站的密碼相同
  2. 承上,也不應與舊密碼其他系統或網站的密碼有相關性或規則性
例如︰舊密碼是 ABC2020,新密碼設成 ABC2021,萬一舊密碼外洩,就有可能被人猜到新密碼

  近期 (2021年) 校內發生過數起電子郵件帳號遭盜用的資安事件,通知使用者之後,常見的反應是︰『已經遵照學校的規範了,每半年改一次密碼,而且才剛改沒多久!怎麼會被盜用!』有時候在電話中不容易解釋清楚,在此藉 e 快報專題向本校教職員生做個比較詳細的說明。

  近年來,許多購物網站、社交網站或網路服務商都曾遭入侵並被竊走使用者的資料,其中被竊走的使用者資料通常都包含使用者的識別名稱 (ID) 和密碼 (Password),雖然大部份的網站都會把使用者的密碼進行加密 (比較精確的說法應該是計算 hash 值),舉例來說,把密碼 "NoOneKnows" 用 SHA256 演算法處理之後會得到一個更長的字串︰fd81dce2475ca322fc072b742d0480bbed1024024ad07d7dbbdaede6ef86aa65

  網站就儲存這一個字串,而不儲存使用者的明文密碼,以提升資訊安全,但您可能會問︰如果有人取得這一個長字串,有辦法得知我的密碼嗎?如果要由 SHA256 演算法去反推,幾乎是不可能,或者非常困難,但是一般來說,相同的明文經過相同的演算法會得到相同的結果 (如此網站才能判斷我們輸入的密碼是否正確),所以如果有人有足夠的資源,就可以用窮舉法,把各種可能的密碼字元組合都計算一遍,並把結果儲存成一個資料庫,目前就有多個公開網站可以提供這樣的服務,如此一來,雖然密碼已經加密了,但是可以用查表法快速得知原來的密碼明文,不用花很多資源去破解,如附圖。

  

  換言之,如果我們在多個系統或網站都使用同一組密碼,那麼只要其中一個系統或網站被入侵,其他系統或網站的帳號就可能跟著被盜用。設定密碼時,另外有一點需要注意,曾有使用者表示也許之前密碼外洩,但後來設的密碼與之前用過的都不相同,不過,... 後來設的密碼和前一個密碼只差一個字元 ...那就表示盜用帳號的人已猜到您設定密碼的規則。

  如果您想知道自己的帳號或密碼等資料是否已遭外洩,可利用 Have I Been Pwned 網站︰https://haveibeenpwned.com/

  該網站可協助您進行檢測 (可檢測的帳號資料已超過100億筆)。

  無可否認,人類的記憶力有限,不容易記住那麼多高難度的密碼,我們可以參考一些密碼設定技巧 [1],或者考慮採用一個比較安全的密碼管理程式或者啟用雙因素驗證(Two-factor authentication,2FA)服務 [2],並期待無密碼技術 (如︰FIDO) [3] 能早日成熟和普及。


參考資料︰

[1]【懶人包】密碼設定小撇步 https://isafe.moe.edu.tw/pack/2293?user_type=4&topic=9

[2]【臺灣資安大會直擊】設定複雜密碼真的安全嗎?密碼管理或許不要再仰賴記憶 https://www.ithome.com.tw/news/144249

[3]【全面解析FIDO網路身分識別】無密碼新時代將至!解決網路密碼遭竊與盜用問題 https://www.ithome.com.tw/news/128566

enews404