Enews404 為什麼我的帳號被盜用了?我明明剛改密碼呀!
出自KMU e-News
高雄醫學大學e快報 第404期 圖資處專題
為什麼我的帳號被盜用了?我明明剛改密碼呀!
■圖書資訊處網路技術組 謝志昌
為節省您的時間,先說結論 (建議)︰
1. 重要系統的密碼不應與其他系統或網站的密碼相同
2. 承上,也不應與舊密碼其他系統或網站的密碼有相關性或規則性
例如︰舊密碼是 ABC2020,新密碼設成 ABC2021,萬一舊密碼外洩,就有可能被人猜到新密碼
近期 (2021年) 校內發生過數起電子郵件帳號遭盜用的資安事件,通知使用者之後,常見的反應是︰『已經遵照學校的規範了,每半年改一次密碼,而且才剛改沒多久!怎麼會被盜用!』有時候在電話中不容易解釋清楚,在此藉 e 快報專題向本校教職員生做個比較詳細的說明。
近年來,許多購物網站、社交網站或網路服務商都曾遭入侵並被竊走使用者的資料,其中被竊走的使用者資料通常都包含使用者的識別名稱 (ID) 和密碼 (Password),雖然大部份的網站都會把使用者的密碼進行加密 (比較精確的說法應該是計算 hash 值),舉例來說,把密碼 "NoOneKnows" 用 SHA256 演算法處理之後會得到一個更長的字串︰fd81dce2475ca322fc072b742d0480bbed1024024ad07d7dbbdaede6ef86aa65
網站就儲存這一個字串,而不儲存使用者的明文密碼,以提升資訊安全,但您可能會問︰如果有人取得這一個長字串,有辦法得知我的密碼嗎?如果要由 SHA256 演算法去反推,幾乎是不可能,或者非常困難,但是一般來說,相同的明文經過相同的演算法會得到相同的結果 (如此網站才能判斷我們輸入的密碼是否正確),所以如果有人有足夠的資源,就可以用窮舉法,把各種可能的密碼字元組合都計算一遍,並把結果儲存成一個資料庫,目前就有多個公開網站可以提供這樣的服務,如此一來,雖然密碼已經加密了,但是可以用查表法快速得知原來的密碼明文,不用花很多資源去破解,如附圖。
換言之,如果我們在多個系統或網站都使用同一組密碼,那麼只要其中一個系統或網站被入侵,其他系統或網站的帳號就可能跟著被盜用。設定密碼時,另外有一點需要注意,曾有使用者表示也許之前密碼曾外洩,但後來設的密碼與之前用過的都不相同,不過,... 後來設的密碼和前一個密碼只差一個字元 ...那就表示盜用帳號的人已猜到您設定密碼的規則。
如果您想知道自己的帳號或密碼等資料是否已遭外洩,可利用 Have I Been Pwned 網站︰https://haveibeenpwned.com/
該網站可協助您進行檢測 (可檢測的帳號資料已超過100億筆)。
無可否認,人類的記憶力有限,不容易記住那麼多高難度的密碼,我們可以考慮採用一個比較安全的密碼管理程式或者啟用雙因素驗證(Two-factor authentication,2FA)服務 [1],並期待無密碼技術 (如︰FIDO) [2] 能早日成熟和普及。
參考資料︰
[1]【臺灣資安大會直擊】設定複雜密碼真的安全嗎?密碼管理或許不要再仰賴記憶 https://www.ithome.com.tw/news/144249
[2]【全面解析FIDO網路身分識別】無密碼新時代將至!解決網路密碼遭竊與盜用問題 https://www.ithome.com.tw/news/128566