暴力破解
」 暴力破解 駭客密碼安全嗎?駭客破解「8字元」僅37秒 專家曝這長度:要100年
在這個網路發達的時代,各種社群媒體等帳號都需要辦會員,而密碼的設定相當重要。總部位於美國維吉尼亞州的資訊科技公司Hive Systems就發現,駭客只要37秒就可以破解一組8個字元的密碼,但破解一組16個字元的密碼則要花上1世紀的時間。據歐洲新聞台(Euronews)報導,科技公司Hive Systems指出,雖然密碼加密措施不斷進步,但將密碼更新為更長,包含字母、數字和符號的組合,會增加駭客破解密碼的時間。很多網站都要求密碼至少要8個字元,但專家也呼籲要「更新」,一個僅由數字組成的簡單8位數密碼,駭客使用暴力破解僅需37秒,但如果字元數增加1倍,就得花119年的時間。密碼長度若增加至16位,駭客就得花1世紀來破解。(示意圖/翻攝自pixabay)專家主張使用更長的密碼,由數字、大小寫字母和符號混合,即使是簡單的8位數,駭客也要花7年的時間才能破解,同時也警告隨著未來科技的進步,破解密碼所需的時間可能會變短。假如密碼曾被盜用,使用字典中的單字或在網站間重複使用,那麼被破解的時間就會大幅減少。假如想要測試密碼強度,可以造訪網站「Security.org」,可以得知密碼是否安全。雖然較長的密碼可以提供更安全的保護,但要管理也是一項挑戰。即使密碼強度不高,但網站通常也具有安全功能防止暴力破解,例如限制錯誤次數、雙重認證等。以前建議定期更改密碼,但現在專家強調創立強大、獨特的密碼,這種方法被認為比頻繁修改密碼更有效。
收簡訊「微軟帳號被登入」 轉頭社群帳號全被盜!用這網頁查詢駭客偷登記錄
近日,微軟帳號再傳被盜消息!一名網友在臉書分享慘痛經驗,表示3號晚上收到簡訊通知「微軟帳號被登入」,由於乍看像是詐騙,且開電腦登入後也無異狀異狀,因此他當時不以為意。不料睡了一覺醒來,驚覺重要社群帳號全被盜!事後,這名網友費了好一番工夫才一一找回帳號,為此他特別撰文,提醒網友檢查微軟登入狀況並注意防範,收到簡訊通知也不要忽視。網友在臉書公開發文分享經驗,表示自己3日晚間收到簡訊通知「微軟帳號遭登入」後,誤以為是詐騙簡訊,並未進一步檢查帳號的所有登入資訊。隔天一覺醒來,發現自己的FB、IG、Google、微軟帳號全數被盜,好在他大多帳號都有綁雙重驗證,駭客也沒有把設定移除,因此可以一一搶回控制權。接著,他透過微軟官方的「帳號登入記錄」詳查登入資訊,驚訝發現原來他的微軟帳號至少從4月初就開始被來源不定的IP以暴力破解嘗試登入,一直到3號才成功,也因此收到那封簡訊通知。他進一步透露,他大多數綁定兩階段認證的社群帳號會被盜用,可能是由於微軟帳號跟電腦作業系統有綁定同步,因此駭客在破解他的微軟帳號後,便以此冒用資訊在其他電腦上偽裝成已認證的電腦,因此成功繞過兩階段驗證的設定。不少網友見狀,紛紛進入「微軟帳號登入記錄」查詢,驚覺自己的帳號也曾遭到他人嘗試登入,趕緊開啟兩階段認證保護帳號安全。還有網友看見原PO分享的通知,認為真的不太能怪苦主,「那個簡訊看起來真的超像詐騙!」
去年就開始!俄羅斯駭客入侵管理階層信箱 微軟證實:近期才發現
微軟於19日在一篇官方部落格中表示,公司內部從2023年11月遭到俄羅斯駭客集團Midnight Blizzard入侵,部分高階管理階層與網路安全小組的一部份電子郵件內容有外洩。而微軟是直到近期才發現這起事件。根據《ABC》報導指出,Midnight Blizzard是一個由俄羅斯政府資助的駭客組織,網路上有時候也會以Nobelium的名字行事。文章中表示,Midnight Blizzard是採用了一種名為「password spraying」的手法,成功登入一個遺留在系統中菲生產測試租戶帳戶」。報導中也提到,與傳統暴力破解不同,password spraying是使用相同的密碼針對多個未授權的帳戶進行嘗試,用如此方式有機會能夠減少被系統注意到的情形。而駭客在入侵成功後,就透過該帳戶的權限,非法訪問了微軟內部極小比例高階管理階層與網路安全、法律小組的電子郵件,並且從中竊取了相關內容與附加文件。微軟在13日發現這起事件後,就隨即取消了該帳號存取帳號的權限,同時向SEC與公眾公開此次遭受攻擊的始末。而微軟也強調,截至目前為止,沒有明顯證據證明,這次遭到入侵的行為有影響到任何客戶環境、生產系統、原始碼或人工智能。
蟬聯多年還是你!最爛密碼「123456」 全球有254萬人使用
近日有VPN服務廠商推出一份統計報告,從所有外洩的帳號中,列出了2020年200組最常見的「爛密碼」,該公司提醒各位使用者,如果你的密碼在這份清單中的話,要趕快更換。根據VPN服務廠商NordPass所提出的統計報告,「123456」再次蟬聯冠軍,使用人數高達254萬人。第二名則是「123456789」,使用人數下降到96萬人。第三名到第十名分別是「picture1」、「password」、「12345678」、「111111」、「123123」、「12345」、「1234567890」、「senha」。其中比較值得一提的是第十名的「senha」,這個字其實就是葡萄牙語「密碼」的意思,狀況其實就跟拿「password」當密碼差不多。自從資訊安全意識抬頭之後,許多科技網站與科技服務公司,都會統計每年的「最爛密碼」,從2014年以來,不管是哪間公司統計,冠軍幾乎都是「123456」,少部分統計會與「password」並列冠軍。綜觀整份榜單,其實真的以純數字的密碼居多,現在由於網站、服務限制的關係,鮮少允許使用者使用純數字的密碼。但「結合大小寫字母」這個觀念其實也沒有用,畢竟當初訂定密碼建議規範的Bill Burr已經承認這都是天馬行空亂編的。如果使用者想要有個安全的密碼,根據FBI提出的建議,密碼的長度遠比複雜度重要,建議使用者可以挑選幾個英文詞,組成一句字母數「高於」15個字母的句子,像是「VoicesProtected2020WeAre 」、「DirectorMonthLearnTruck」都是不錯的密碼,FBI認為這樣組成密碼,不僅便於記憶,長度也足夠增加破解的難度。