從純文字顯示與命令列操控到個人電腦視窗作業系統,再跨到網頁瀏覽器、手機App,很多年前,有個朋友曾跟我說她對於頻繁的各式帳號註冊、登入驗證程序,感到厭煩,而且會因此不願接觸新的服務。
時至今日,形形色色的服務登入早已成為臺灣消費者生活的日常,因為無論到超商、大賣場購物,或至連鎖速食、咖啡店、餐廳點餐,店員見到顧客的前幾句話通常都會問到「有會員嗎?」,意思是問你是否有會員卡或是否已加入、成為店家的會員,接著請你出示會員卡、商家App或唸出你註冊的電話號碼,以便識別你的身分、進行交易。
實體世界如此,數位世界更是仰賴大量的帳號與密碼登入,使用者為了記住這些重要識別資訊,也都各有自己的習慣。許多人通常會採取一些簡單、容易記憶的密碼,也因為太多人使用,因此,這些常用的密碼內容組成,也被大家譏笑為「白癡密碼」或「笨密碼」,而且,每隔一段時間,就會有機構或媒體揭露這類年度排行榜,趁機提醒大家更謹慎地訂定密碼內容。
為了避免眾人採用容易被猜到的密碼,各種系統也普遍要求使用者須制定符合一定規範的密碼組成,提升密碼的強度,通常這些規範稱為密碼(設定)原則,例如,密碼長度需由8個以上字元組成,不僅需混合使用英文字母、數字,而且,字母不能全部大寫或小寫,而是要參雜使用。後續的密碼原則,則要求使用者設定的密碼需涵蓋特殊符號。
關於密碼複雜度對應的安全程度,相信很多人都看過資安廠商Hive Systems發布的密碼破解時間表,若使用12張GPU加速卡Nvidia Geforce RTX 4090,面對使用bcrypt雜湊函數存放的密碼,若是目前最常見的8個字元組成的密碼,純數字只需37秒即可暴力破解(brute force),搭配數字、大寫字母、小寫字母、符號為7年;若以密碼長度而言,要脫離危險範圍,純數字要搭配到15個字元以上(破解需12年),搭配數字、大寫字母、小寫字母、符號需8個字元(破解需7年)。
值得注意的是,根據Hive Systems的測試,若是密碼遭竊、用字典的詞彙組成的密碼,或在不同網站使用相同的密碼,無論密碼有多長,都能馬上破解。
若是遵循NIST SP 800-63-3數位身分指南,將密碼設為8個字元,採用MD5雜湊函數存放密碼時,無論使用新舊款GPU,都是瞬間破解,改用複雜密碼組合,用資料中心GPU產品A100時,若是少量GPU,也只能抵擋十幾分鐘,若改用bcrypt雜湊函數存放的8字密碼,舊款GPU加速卡破解純數字密碼,需2小時,若以1萬張資料中心GPU產品破解,也是瞬間完成,但搭配複雜密碼,可抵擋5天。
依照上面的測試結果分析來看,不重複使用密碼,並且採用更多字元的密碼、密碼內容組成越複雜、以及更安全的密碼雜湊函數,都是能否延長密碼破解時間的關鍵。然而,要同時滿足這些條件,難度越來越高。
因此,這幾年來,資安領域也持續推動「無密碼/非密碼的身分驗證(Passwordless Authentication)」,我們先前經常報導的FIDO(Fast Identity Online),就是目前領導這股浪潮的重要標準,市面上,也陸續出現支援FIDO標準的認證設備與行動裝置憑證,而在網站與行動系統當中,近期最受關注的相關技術應用,就是Passkey(通行金鑰)。
今年7月我們看到臺灣多家服務業者介紹自家網站與行動App提供Passkey支援的經驗,這期封面故事,資安主編羅正漢針對可樂旅遊、智冠科技、露天市集這三家廠商,深入報導他們的Passkey導入經驗,背後分別有資安廠商或專業機構的協助,分別是:網際威信、工研院,以及數聯資安、希望透過這樣的內容介紹,能讓更多企業了解這項強化與簡化身分安全的技術。
專欄作者
iThome電腦報周刊副總編輯
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-19
2024-11-15
2024-11-15
