ADVERTISEMENT
所謂知己知彼,百戰百勝。在第二部分的文章中,筆者將簡單介紹幾種常見的密碼攻擊方式,從反面看看資訊安全的黑暗面,透過瞭解這些破解手法,檢視自己是否是高風險族群,來避免自己成為俎上肉。
針對密碼進行攻擊
要破解加密技術,可以選擇以機構或金鑰為目標,但是設計良好的機構並非那麼容易被破解。而且根據密碼學者奧古斯特‧柯克霍夫提出的柯克霍夫原則,加密機構本身應該公開,即便攻擊者知悉機構,在沒有金鑰的情況下也無法解讀密文,所以與破解整個加密機構,攻擊者不如從金鑰下手。
攻擊金鑰最基本的方式,就是窮舉破解法(也稱為暴力破解法),顧名思義就是不斷嘗試以不同的密碼組合進行解密,直到嘗試出正確的密碼為止。這種方式當然不會由真人進行操作,不然一組一組輸入天早就黑了,所以會以程式自動進行,破解的時間主要受密碼的複雜度影響,當密碼越長、包含的字元越複雜,破解的難度就越高。
為了要降低窮舉破解法花費的時間,有些攻擊者會以字典檔進行攻擊,所謂的字典檔就是將常見的字詞集結成資料庫,在進行攻擊時,會先從資料庫中的詞彙進行嘗試。由於大多數的使用者懶得也不一定能記住由複雜亂數組成的密碼,所以類似「APPLE123」這種由簡單詞彙組成的密碼,就能透過字典檔攻擊快速破解。
▲柯克霍夫出生於1835年,為荷蘭的語言學家、密碼學家,曾任教於巴黎高等商業研究學院。(圖片為公有領域知識財產)
▲根據SplashData提供的資料,2013年最差密碼排行榜前25名,都是窮舉破解法很容意攻破的目標。
也需注意旁敲側擊
攻擊者除了以嘗試的方式猜出密碼之外,還有許多方式能夠騙取使用者的密碼。由於這些方式跟這次討論的主題比較無關,所以筆者僅在此簡單地提及防範措施,並將重頭戲密碼設計的部分放到最後一篇文章中。
旁敲側擊的攻擊方式不外乎騙取、側錄密碼,最直接的方式便是以釣魚網站進行攻擊。典型的釣魚網站會偽裝成一般如Facebook、Gmai之類的網路服務,讓使用者填入帳號與密碼,攻擊者便能直接取得完整資料,另一種釣魚網站會讓使用者以E-Mail帳號進行註冊,如果使用者使用與該E-mail帳號相同的密碼,攻擊者也能順利取得完整資料。這種方式除了能靠使用者自行比對網址、SSL加密憑證是否正確外,也可以透過瀏覽器或防毒軟體的過濾功能,揪出可疑網站。
另一種常見的攻擊手法是使用鍵盤、滑鼠側錄軟體,或是螢幕側錄軟體,分別竊取使用者從鍵盤、滑鼠輸入的資料,或是竊取從出現在螢幕上的動態鍵盤輸入的密碼,這類軟體大多是常駐型的木馬程式,使用防毒軟體不難掃出這些惡意程式。
如果攻擊者覺得要竊取的帳號密碼具有更高的價值,他們可能會以封包監聽的方式,過濾使用者傳輸的所有資料,不過通常來說密碼都會在非對稱加密技術的保護下,以密文型式傳輸,所以攻擊者竊得密文後,還需將其解密為明文,在實作上可能不合時間成本,一般使用者不必特別擔心這種狀況。另一種很有效的攻擊手法,就是直接脅迫使用者供出密碼,比方說把使用者抓起來嚴刑拷問,不過這種情況發生在一般人身上的機會更下,與其擔心這個不如擔心被雷劈到比較實際。
▲有些網站沒有使用SSL加密連線,密碼容易在傳輸過程中遭竊聽。
▲如果使用SSL加密連線,就可以避免被竊聽的情況發生。
延伸閱讀:
...我看不出來那些跟『窮舉』有和關係,頂多就是常用密碼
限制在一定時間內能嘗試輸入密碼的次數即可
因此只要設的密碼偏冷門一點
以字典檔攻擊也幾乎已經不起效果了