每年的5月第一個星期四是世界密碼日(World Password Day),許多資安專家會宣導密碼衛生的重要性,不過這次有資安公司揭露相當特別的分析結果,那就是應用系統存放的密碼資料,以現在的硬體資源而言相當容易破解。
近日卡巴斯基分析2023年至2026年流入暗網的2.31億個密碼,結果發現,駭客想要破解密碼,其中六成只需1小時與幾美元的費用,值得注意的是,有近半數(48%)只要1分鐘就能破解。該公司說明,一般應用系統不會以明文存放密碼,而是經過特定演算法處理,並以雜湊值存放,一旦駭客取得這些雜湊值,而且能解密,就能還原成使用者輸入的密碼。
而該公司測試時,使用搭載RTX 5090顯卡的電腦,嘗試還原MD5雜湊值。卡巴斯基強調,實際上駭客不需自行擁有一臺高階工作站電腦,並耗資數千美元購買RTX 5090,而是直接以數美元的代價租用雲端的GPU運算資源,就能達到目的。針對上述測試結果,卡巴斯基強調,密碼的長度仍是影響其強度的主要因素,因為破解8個字元的密碼,大部分只需1天內就能完成。此外,該公司也認為密碼的內容多樣性及隨機性相當重要。
