文/鏡週刊
在申辦許多帳號時,為了保護資訊安全,密碼經常會規定必須英文和數字混雜,且得輸入至少8個字元等。一名工程師在推特上詢問追蹤者,為什麼密碼「ji32k7au4a83」,這組看似隨機的數字在資料驗證資料庫 Have I Been Pwned(HIBP)上出現超過一百多個人使用?
Have I Been Pwned (HIBP)為安全專家Troy Hunt 創立的資安驗證網,用戶可透過網站來了解自己個資是否洩漏,其中一項功能為密碼搜尋,用戶可輸入自己設定的密碼檢驗是否被人使用過,其中密碼「ji32k7au4a83」在該網站上出現高達141次,讓一名工程師Robert Ou在推特上發文詢問追蹤者,為什麼這組「ji32k7au4a83」密碼在HIBP的數據庫出現超過一百次?
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— Robert Ou (@rqou_) 2019年3月1日
這組看似隨機的英數串,事實上只有會使用「注音輸入法」的用戶才能解讀,英數串對照台灣人的注音鍵盤就是「我的密碼」,但也顯示出擁有相同思維的人不只一個。該則推文也吸引不少台灣人出來解答,《Gizmodo》《iDropNews》也有相關報導。
除了「ji32k7au4a83」之外,「ji394su3」(我愛你)也被使用21,709次,顯示儘管使用新注音輸入法設定密碼,安全性仍不足。
網路安全公司SplashData則建議,最好使用12個以上的英數串來組合密碼,且每個網站都設定不同的密碼,確保若駭客破解了一組密碼,也無法破解其他帳戶的密碼。
更多鏡週刊報導
一審遭判敗訴 陳佩琪:那8個月來為何要我提供這些資料
昆凌曝光周董在家暱稱 粉絲神回覆「不是在說女兒」
癱瘓40年月亮歌后吞藥輕生 李珮菁:痛不欲生
延伸影音...
