密码难到记不住 真能防骇客？

（图／取自网路）

从「英数锁」被研发出来后，「设定密码」这件事就开始困扰着所有使用者。也许我们会用生日、手机号码做为密码来源，但很多专家告诉我们那样的密码并不安全，我们改用一些单字、名字来当密码，又有专家说採用暴力攻击法可以在几秒钟就把我们的密码破解，于是密码越设越复杂，而大家也越来越记不住自己的密码。

不要採用人们最常使用的密码来源，例如生日、姓名缩写、手机号码等，因为这也是骇客最先会猜测的密码，这些告诫是有道理的。不过随着电脑技术越来越进步，骇客开始使用「暴力攻击法」。暴力攻击法就是将所有密码的可能组合全部尝试解密，因此，密码就需要更高的强度才能抵抗，衍生出各种保护密码的理论，也有各式各样的专家建议，甚至有所谓的密码产生器，随机帮你设定一组密码，这种密码你几乎无法背下来。

举例来说，你能够记住「tincan24」这组密码，但为了增加密码强度，换了你完全背不起来的「7Qr&2M」，两组密码何者对你比较好？或者哪一组密码对骇客来说较难破解？答案是「没有差别」，在暴力攻击法的冲撞下，花一小时破解与三小时破解并没有差别。

如果密码档洩露了，网站及早发现并发出警告，强迫使用者更换密码，那么你的机密依然是安全的；或者网站架构上有对密码档利用金钥进行加密，骇客也不见得能破解金钥。就怕网站并没有对使用者的密码档本身有任何的保护，不管你密码设得再强，如果网站方根本就对保存你的密码这件事情不加重视的话，你就算真的设成「7Qr&2M」，也完全没用。

这时就有一个问题了，为什么厂商还要建议你设立「7Qr&2M」这一类的密码？

事实上，这是网站或是厂商试图把密码保管的责任推卸到使用者的一种做法。要让使用者透过设定一连串复杂而难记的密码，去解决暴力攻击法的问题是不切实际的。只有从网站的架构或是应用程式端，真正做到防止密码档洩露，并对密码档加密保护，才是根本的做法。

【101创业大小事／整理报导】

-------------------------------------------------------

文章内容若有侵权疑虑，请来信告知。

客服信箱：[email protected]

免责声明：

部分图片、观点，来源于网际网路及其他网路平台，主要目的在于分享讯息，让更多人获得需要的资讯，其版权归原作者所有。如涉及侵权请告知，我们会在24小时内删除相关内容。