網路服務要求設定密碼時必須要英文及數字混雜、輸入至少8個字元等許多規定。許多使用者在設定密碼時,時常會利用數字與英文的相似度結合做些變化,例如:Mypa22word、Ire2pect、Mypa52ion…等等。
所以當一開始看到這組「ji32k7au4a83」12位數的複雜密碼,很難抓取到它的邏輯,因此會定位成它是沒有邏輯的密碼,應該是極為安全的吧?錯了,根據數據洩露存儲庫Have I Been Pwned(HIBP)的報告指出這組密碼顯示的頻率比想像中還要高非常多。
一位硬體/軟體工程師Robert Ou在Twitter上發了一篇推文詢問他的追蹤者們,他們是否能夠解釋為什麼這個看似隨機的數字密碼串在HIBP HIBP的數據庫出現了百多次。
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— Robert Ou (@rqou_) 2019年3月1日
Have I Been Pwned是一個信箱驗證網,由安全專家Troy Hunt創立,使用者能夠透過該網站來了解他們的電子郵件或個人資訊是否洩漏。而它提供的一項服務是密碼搜尋,允許使用者檢查自己的密碼是否出現在任何的洩漏個資中,來確認帳號是否安全。在這種情況下,HIBP已經看到「ji32k7au4a83」出現了141次。
也許有許多使用者在一開始看到這串密碼就了解它會這麼常出現的原因。原來「ji32k7au4a83」對照我們台灣人的注音鍵盤就是「我的密碼」。在某種程度上,這是蠻尷尬的一件事情。使用者構思了一個認為只有自己才了解的思維卻跟另外140位使用者使用相同的密碼。
但其實這樣的狀況不是只發生在台灣,根據網路安全密碼管理公司SplashData於去年底發表的 2018年最糟糕網路密碼,「123456」和「密碼」(password)蟬聯6屆冠、亞軍寶座。其他更有趣的密碼包含第8名的「陽光」(sunshine),第9名的「qwerty」(QWERTY鍵盤),第10名「我愛你」(iloveyou)以及第23名的美國總統「唐納」(donald)。
由此可得出一個結論:這些使用者的思維也許是合理的,但卻不夠縝密。或許台灣用戶能利用注音結合自己常接觸的人事物,再加上熟悉的一組數字、其他自己能夠了解的方式來重新設定一組密碼。
不過話說回來,若是恰巧也使用了「ji32k7au4a83」該改改自己的密碼囉!
《原文刊登於合作媒體INSIDE,聯合新聞網獲授權轉載。》