小隔間裡的人生

誰去查查台灣使用者有多少人用 183club 當密碼的 ? XD

前不久大神那邊寫了一篇文章講到前不久 MySpace 釣魚網站密碼外洩事件，有人提出了關於那些密碼的分析；而剛剛我又看到一篇相關的分析，執筆者是 Bruce Schneier 老大。

在這篇分析中，第一個談的就是密碼長度，65% 的人所用的密碼長度在 8 個字以下，不過也有人用長達 32 個字的密碼；平均長度是 8 個字。

接下來談到密碼組成，81% 的人用的密碼文數字 (alphanumeric) 都有，不過這其中有 28% 的人是全用小寫最後再加一個數字 (abcd1 這種)，而這些人當中有 2/3 的人最後這個數字用的是 1。3.8% 的密碼用的是字典裡找到的字，另外有 12% 的人用的是字典找到的字後面再加一個數字 (test1 這種)，而且和前面相同的是，有 2/3 的人最後這個數字用的是 1。

再來看到常用密碼分析，password1 勇奪第一，有 0.22% 的人使用，接下來的是 abc123 和 myspace1，有 0.11% 的人使用。第四名是 password 沒什麼好說的，第五名是 blink182，這是什麼呢 ? 其實這是一個龐克搖滾樂團 :p 後面還有人用 jordan23 的…

他分析了為什麼大家會選用 password1、blink182、或是 jordan23 來當密碼，他認為這是資安推廣有成效的表現，因為大家都在講說密碼要用文數字結合才比較安全，所以比較懶的人就拿英文後面直接加個數字 (password1)，然後有的人就會去找那種本來就有英文和數字的字 (blink182) 或是英文和數字間可以聯想得到的 (jordan23)。

接下來他提到大家對於密碼的選擇算是與時俱進了，1989 年時某人光用字典就破了密碼檔裡 24% 的密碼 (平均密碼長度 6.4 個字)，到了 1992 年下降到 20% (平均密碼長度 6.8 個字)。

使用者年齡層對於密碼的選擇也會有所影響。一個月前針對 200 家公司的員工的密碼做的分析顯示 20% 的人只用文字 (MySpace 的例子只有 9.6%)、78% 的人用文數字 (MySpace 的例子有 81%)，平均密碼長度 7.8 個字 (MySpace 的例子是 8 個字)。照這種趨勢來看，年輕人對於密碼的選擇比較有用心。

不過他最後提到光靠密碼來做保護是越來越行不通的了。現在已經有產品可以每秒試上百萬組密碼，就算是只用軟體來玩也可以達到每秒數十萬組的程度；在可以把密碼檔抓下來暴力分析的情況下，半個小時就可以解出 23% 的密碼，而 55% 的密碼可以在 8 小時內解出來。要求使用者把密碼加長是不合理的，因為人的記憶力有其極限，如果真的又長又複雜的話，最有可能的結果是把它寫下來，這樣反而會造成反效果。在這種情況下，未來的認證該要怎麼做呢 ?

Technorati Tags: security, myspace, password