【e-zone 專訊】「人類總是犯同樣的錯誤」不再是爛gag(餿哽),即使是關乎自家私隱或財務資料的密碼。企業和個人密碼保護方案商 Keeper 公布去年最常見(也是最弱)的密碼排行榜,結果「123456」勇奪冠軍;綜合其他同行的排行榜,「123456」更是 2013 年以來蟬聯「常用密碼」寶座(2012 年亦排第 2)!發生這樣荒唐的事,除了個人貪方便掉以輕心、網上服務盛行戶口太多難管理外,其實雲端服務商也難辭其咎,如:容許 6 位純數字密碼設定。
Keeper 掃描超過 1,000 萬組密碼再定出上述排行榜,發現頭 10 位中有 4 個以及頭 15 位中有 7 個密碼只由 6 個字元組成,這種薄弱密碼只需幾秒鐘便能破解。電郵、網存等雲端服務商也容許網民用 4至 6 個數字組成的密碼設定過關,不是太懶便是助紂(黑客)為虐。
此外,雲端服務商並沒有採取足夠過濾措施,令垃圾電郵發送者輕易用機器程式(bots)隨機產生「18atcskd2w」、「3rjs1la7qe」等密碼開設大量假帳戶,再發送垃圾電郵甚至釣魚電郵(Phishing)。事實上,「18atcskd2w」這樣複雜的密碼居然能排第 15 位確有點「詭異」。保安專家 Graham Cluley 估計該組密碼正正是由不法份子為傳播垃圾郵件而用 bot 創建大量帳戶而成。雲端服務商應定期檢查隨機產生但密碼不斷重複的可疑帳戶。
服務商其實也有苦衷,因為禁止網民用生日、簡單字元、連續數字組成的密碼,的確可提高安全程度,但用戶會因容易忘記密碼而「遷怒」服務商甚或乾脆取消服務,實在是兩難,惟有採用其他技術(如:多重認證)增加破解難度。
2016 年最常見密碼
(01)123456
(02)123456789
(03)qwerty
(04)12345678
(05)111111
(06)1234567890
(07)1234567
(08)password
(09)123123
(10)987654321
(11)qwertyuiop
(12)mynoob
(13)123321
(14) 666666
(15)18atcskd2w
(16)7777777
(17)1q2w3e4r
(18)654321
(19) 555555
(20)3rjs1la7qe
2015 年常用密碼排行榜(SplashData )
(01)123456
(02)password
(03)12345678
(04)qwerty
(05)12345
(06)123456789
(07)football
(08)1234
(09)1234567
(10) baseball
(11)welcome
(12)1234567890
(13)abc123
(14)111111
(15)1qaz2wsx
(16) dragon
(17)master
(18) monkey
(19) letmein
(20) login
2014 年常用密碼排行榜(SplashData )
(1) 123456
(2) password
(3) 12345
(4) 12345678
(5) qwerty
(6) 1234567890
(7) 1234
(8) baseball
(9) dragon
(10) football
(11) 1234567
(12) monkey
(13) letmein
(14) abc123
(15) 111111
(16) mustang
(17) access
(18) shadow
(19) master
(20) michael
Photo:Zunter
Source:ezone.hk