yt8019 wrote:
因身分證字號 (大寫字母+9位數字組合) 用0.06秒隨便就可以破解了,但每次開啟卻要浪費大概3-5秒的時間輸入密碼。
這種網站的測試結果您也在信?測試結果只是依據系統的字典,利用暴力破解進行字串比對,所得的結果。
上面第一組是符合強式密碼原則的,以前到企業或是公股行庫上課我都會建議他們,如果只是要符合強式密碼規則那就用 P@ssW0rd01 大寫、小寫、英文、數字都有,最後的 01 更重要,因為每三個月要換一次密碼,01 ~ 99 剛好退休。如果真正要做到安全,請使用其他規則。
第二組 ji32k7au4a83 就是注音輸入法的我的密碼,720年?屁啦,早就在密碼字典裡了。
發明強式密碼的作者 Bill Burr 早在幾年前(2017)就出來道歉,他當初提出這套理論式在研究室自己腦補的,事實上並不安全,而且造成大家的困惱。
密碼的強度與演算法是要看使用時機的,透過威脅建模選擇適合的保護方式,不是糾結在幾秒能破解。
簡單的說,如果 pdf 檔案密碼可以使用暴力破解,而且別人可以輕易拿到你的檔案,0.06 秒和 600 秒的差異在哪裡?
使用身分證字號當密碼,只是為了提供基本的保護,同時又方便大量自動化產生帳單。
如果要讓客戶自己設定密碼,那麼很多人可能就會選擇和網銀一樣的密碼。這樣密碼就必須是可以反解的,相對的就會降低網銀密碼的安全性。好的資安政策不是靠腦補,必須考慮人性。
如果要安全,每個人先到銀行登錄、上傳自然憑證公鑰,銀行使用客戶登錄的公鑰加密後再寄給客戶,個人收到帳單後必須要使用自然人憑證解密再開啟。把每個人的帳單都搞得和國安密帳一樣,這樣就安全了。
