這個月9月21日被警方查獲了一起重大的駭客犯罪事件,
刑事局相關新聞稿還有相關新聞。
受害的網站不但多而且都是相當有名的大站,有中華電信
及PTT實業坊;深藍學生論壇、卡提諾論壇、EZpeer、
無名小站、艾噹洛學院及桃園縣部分國中..等等。據新聞
報導光中華電信已有二百四十多萬筆個資外洩,問題可說
是相當嚴重。
是的,看到上面訊息,該做什麼事很清楚---改密碼。這是
一定要的。那我要告訴你,密碼要怎麼改才安全。有人可
能會納悶,密碼怎麼改,能影響網站的安全防護嗎?當然
沒辦法,網站歸網站,那是我們沒辦法去控制的。但密碼
有好的設置自有它一定的作用。
首先記住第一個也是最重要的原則--不要全部帳號只用一
個相同的密碼。這除了跟雞蛋不要放在同一個籃子相同道
理外,還有其他因素。很多人都會納悶為什麼信箱會被盜?
原因除了中木馬外,另一個很大的可能就是只用一個相同
的密碼。
當我們在各式各樣的網站或論壇註冊時,註冊流程大同小
異,幾乎都要填信箱。個人資料可能會亂填,不過信箱大
都會填真實的。這時只用一個密碼的人,很習慣的論壇密
碼就跟信箱密碼是一樣的。有人會說論壇帳號和信箱帳號
不一樣啊,可是在這個論壇帳號的資料檔裡,信箱有了,
密碼也有了。所以首先真實信箱包含信箱密碼洩漏給了論壇
。又有人會說,密碼應該是加密的吧,連管理員也不能知
道。據我所知,還是有很多網站或論壇,密碼是沒加密的。
一清二楚的呈現在管理員後台會員資料庫裡頭。此外,簡
單的MD5等加密,也是可以解出來的。以下有查MD5轉換
的網站:http://www.xmd5.org/index_cn.htm
http://md5.rednoize.com/
http://us.md5.crysm.net/
當然,我們是相信管理員的誠信的。但就是會有駭客喜歡
入侵竊取下載網站的會員資料庫。而且,有很多漏洞其實
竊取過程沒想像中那麼難,不過,這也要看網站的安全。
那麼拿到會員資料庫的駭客下一步會做什麼,除了含有個人
真實資料拿去賣之外。就是把資料庫中的信箱帳號當帳號,
和會員密碼一起做成字典檔,拿破解程式去解各大信箱密
碼,這時針對的當然就是只用一個相同密碼的人的資料,
據小道消息,成功率還不低。(雅虎和MSN信箱遇到暴力
破解時會鎖帳號或IP,不過以上的字典檔等於是不同帳號
一組一組的跑,有別於完全暴力破解。至於除了跑POP3的
程式外,測試雅虎和MSN信箱帳密的程式,也確實是有的。)
等到駭客拿到信箱的密碼,進入信箱後。除了查看個人資
料外,許多網站論壇註冊時會寄一封信到信箱,只用一個
密碼走天下的人,這些註冊的網站和論壇的帳號,駭客也
能使用了。
只用一個相同的密碼是既方便又好記,是很自然的事。但
現實實在不允許如此。上面講了這麼多,接下來就講該怎
麼設密碼比較好。
我想可能會有人因此一個網站或一個信箱就設一個密碼,
密碼設了一堆,這個我完全不建議,太不符合人性,而且
通常會忘記密碼。所以,我的建議是2個到3個密碼就夠了。
不過可以依你非常重要的佔幾個來調整。方法就是非常重
要的個別獨立用一個密碼,知名信箱數個帳號可以用另
一個,最後用來註冊各大論壇網站另外用一個密碼。總之,
原則就是依重要等級區別開來就對了。
第二原則就是,密碼要有一定的長度和難度。這是為了針對
暴力破解而來的。基本上,超過一定的長度,不太會有人會
用暴力破解去試啦。因為密碼越長,排列組合越多,要測試
的數目很驚人。所以密碼長度一定要有。我知道,密碼太
長很難記。講講我用的方法吧。台灣人特有的方法-注音法,
比方說,設密碼為:我是大俠 很好記吧。而用注音方法打
出來,我是大俠 注音所對照的英文密碼是ji3g4284vu86
夠長了吧。而你只要記 我是大俠 就可以了,不錯吧。
總之,多一分心思,多一分保護。但要有個限度,不要搞得
太麻煩,神經兮兮反而不好。
可以轉載,請先留言通知,並註明出處。
留言列表
