大家好,歡迎來到資安簡報室!我是主持人 Eric。在數位時代,密碼是我們線上生活的門戶,但您是否曾想過,這扇門有多容易被闖入?最近一項實測結果顯示,AI 在短短一分鐘內,就能破解 51% 的密碼。這個驚人的數據,提醒我們重新審視密碼設定的習慣與安全性。
過去,我們設定密碼常依循著某些規則,例如生日、學號、親友的紀念日,或是個人化的縮寫。這種為了方便記憶而形成的模式,我們稱之為「大腦公式」。然而,正因為需要用「腦」來記憶,它也產生了致命的弱點,因為 AI 的運算能力極其強悍,很容易就能看穿這些人類思維的模式。
今天,我將深入探討密碼常見的危險行為,以及 AI 如何將這些習慣轉化為攻擊的利器,並提供您立即行動的資安解方。
密碼的致命弱點與常見陷阱
在探討如何強化密碼安全之前,讓我們先來了解密碼世界中常見的三大陷阱:
1. 預設密碼的危機:全球直播你的私生活?
家用的監視攝影機,例如寶寶攝影機、寵物攝影機或老人照護攝影機,為了安全監控家中的狀況而廣泛部署。然而,許多使用者常常忽略一個關鍵步驟:修改預設密碼。
許多便宜的攝影機可能預設密碼為「Password」或「Admin」等。駭客一旦得知某品牌的預設密碼,就能在網路上大量掃描使用預設密碼的攝影機。這意味著,您的客廳、私生活,都可能在您不知情的狀況下,被全球即時直播。攝影機的安全,最後一哩路其實在我們使用者身上,您是否修改了密碼,並且確保其強度足夠?
2. 「密碼金酸莓獎」:人類設計密碼的慣性
每年都會公布最常見、最容易被破解的「密碼金酸莓獎」清單。這些密碼往往是「123456」、「Password」等,甚至加上年份或月份,為了更換密碼而更換,卻讓密碼變得有跡可循。
我們也習慣性地使用鍵盤順序(如「W-E-R-T-Y」)或注音符號等模式。這些模式的產生,是因為人類不容易設計出一個複雜且好記的密碼,因此會依賴規則或邏輯。這恰恰是 AI 最擅長識別和利用的模式。
3. 「大腦公式」的本質與AI的看穿能力
所謂的「大腦公式」,是許多人為了讓不同網站擁有不同密碼,又能方便記憶所採用的策略。其核心邏輯是:固定基底 + 變動因子 + 縮寫。
例如,我在 Men’s Game 玩物誌 頻道上看到的 Allen 提出的例子:固定基底是「0857A$」(0857 代表 Allen 愛錢),變動因子則是網站字母數,再加上網站名稱縮寫。像 Facebook(8個字母,縮寫 fa)的密碼可能變成「0857A$8fa」;Google(6個字母,縮寫 go)則變成「0857A$6go」。過去,我 (Eric) 自己也曾使用過類似的邏輯來設計密碼,認為這是一個聰明又方便的方法,因為每個網站都有不同的密碼。
然而,在 AI 的威脅下,它卻變得極度危險。AI 能夠學習這些模式,一旦它看過幾個不同網站的密碼範例,它就能夠「揣測」出您的行為模式,進而推演出您的「萬能鑰匙設計圖」。網路上甚至有研究報告 PassGAN 佐證,任何人的密碼模式,AI 都有機會破解。換句話說,您以為擁有多把鑰匙,其實 AI 已經看穿了您的唯一一張設計圖。
4. 備份密碼的物理隔離重要性
除了上述常見陷阱,備份密碼的儲存方式也潛藏風險。我 (Eric) 最近在準備內容時,看到 IG 上詹彬 (bin.bin.jan) 的影片,提到他的 Google 帳號被竊取。原因是他打開了一封偽裝成知名公仔品牌 Labubu 的電子郵件中的 PDF 檔案,其中隱藏了惡意後門程式。這個程式掃描了他電腦中的所有內容,並找到了他儲存在本機的 Google 備份密碼。駭客利用這組密碼登入 Google 帳號,甚至強制更換了通行密鑰和二次驗證 (MFA) 設定,導致該網紅遺失了 Gmail。
這個案例點出一個關鍵:既然是備份密碼,就應該做到「物理隔離」。如果將備份密碼數位地儲存在電腦中(例如 Excel 檔案),一旦電腦被駭或檔案遺失,所有密碼都將曝光。正確的做法是將其列印出來,並儲存在一個安全的實體位置,就像老人家的「小本本」一樣,但仍需思考如何妥善保管這個實體文件。這也提醒我們,密碼備份存放位置的安全性,也是一個重要的漏洞所在。
提升密碼安全的立即行動與未來趨勢
面對 AI 時代的密碼威脅,我們必須立即採取行動,並擁抱更安全的驗證方式:
1. 拋棄規則式的密碼
首先,也是最重要的一點,就是徹底拋棄依循特定規則或邏輯來設計密碼的習慣。AI 強大的分析能力,能輕易破解這些模式。以前密碼掉了可能只是被人猜測,但現在 AI 的分析能力已讓風險指數大增。
2. 擁抱密碼管理器 (Password Manager)
如果網站尚未支援更先進的 Passkey,您應該立即行動,開始使用密碼管理器。
- 密碼管理器是什麼? 它是一個工具,能夠為您生成複雜、隨機且獨特的密碼,並安全地儲存它們。
- 如何使用? 許多作業系統或服務都內建密碼管理器,例如 iPhone 內建的密碼管理機制、Google 密碼管理員。您也可以考慮使用第三方工具如 One Password。我自己 (Eric) 習慣使用 Apple 內建的機制,讓它生成隨機密碼並儲存,需要時透過 Face ID 或指紋驗證才能取用。
- 好處? 當您需要登入網站時,密碼管理器會自動帶入儲存的密碼,並且通常需要透過您的 Face ID 或指紋進行驗證。這意味著您不需要記憶那些複雜的亂碼,只需信任您的裝置和密碼管理器。
3. 轉向通行密鑰 (Passkey) – 密碼的未來
通行密鑰 (Passkey) 是目前最推薦、也是未來無密碼驗證的核心趨勢。
- 什麼是 Passkey? 它是一種「無密碼」的登入機制 (Passwordless)。它不再是傳統的兩串字元密碼,而是一組由「公鑰」與「私鑰」組成的加密憑證。
- Passkey 如何運作? 我 (Eric) 以我的 iPhone 作為 Passkey 的載體,並以國泰航空為例:
- 私鑰 (Private Key):當您建立 Passkey 時,您的裝置(如 iPhone)會即時生成一把私鑰。這把私鑰是實體的鑰匙,會被鎖在您裝置的硬體規格中,永遠不會離開您的手機或裝置。而且,這把鑰匙是為專屬的網站所打造,一對一配對。
- 公鑰 (Public Key):網站端則會儲存一把公鑰,您可以將其想像成鎖芯的規格設計圖。
- 登入流程:當您登入時,您的裝置會使用 Face ID 或指紋進行生物驗證,確認是您本人。一旦驗證通過,私鑰就會去核對網站上的公鑰,如果配對成功,門就打開了。
- Passkey 的優勢?
- 沒有密碼可供洩漏:由於不再有傳統密碼,駭客無法從網站資料庫偷取密碼。即使網站的公鑰(鎖)被偷,因為沒有對應的私鑰(鑰匙),也無法配對成功,因為還會檢查與網站的一致性。
- 防範大規模密碼遺失:每個網站都有專屬的鑰匙,即使某個網站被駭,您的其他網站帳號也不會受到影響。這解決了傳統密碼在一個平台被盜後,其他平台也可能連帶受影響的問題 (例如 Facebook 密碼掉了,Google 密碼是否也會掉,答案是不會)。
- 更強的資安保護:Passkey 已經成為產業趨勢。例如,微軟的新帳號都已是無密碼模式;Google 也報導,其 Passkey 使用量已大於傳統的帳號密碼。
立即行動,提升您的資安等級!
綜合上述,今天的重點回顧有三點:
- 拋棄規則式的密碼:AI 實在太強大,任何模式都有機會被破解,非常危險。
- 擁抱密碼管理器:暫時利用密碼管理器來生成並管理複雜密碼,度過轉型期。
- 轉向通行密鑰 (Passkey):這是未來的趨勢,以真實鑰匙型的機制取代傳統密碼。
現在就開始行動!
- 檢查您的帳號:找一個帳號,立即將其密碼改為複雜的字串,並嘗試使用密碼管理器來管理。
- 調查網站支援度:開始檢查您常用的網站是否已經支援 Passkey。如果支援,請立即更改為 Passkey 登入。
- 習慣新工具:一旦您習慣了 Passkey 的用法,也懂得如何利用密碼管理器管理複雜密碼,恭喜您!您的安全等級將提升,超越 90% 的人!
我是資安簡報室的 Eric,我呼籲大家,不要再依賴兩串字元的大腦密碼。透過學習使用 Passkey、多因素驗證以及密碼管理器生成亂碼,將能顯著拉高您的帳號安全等級,減少潛在的危險。我自己 (Eric) 以前也曾使用大腦公式,但現在已經盡量都修改為更安全的 Passkey 方式了。
