2016徵求年菜推薦網路訂購最紅的商家.年菜訂購?台北年菜外送餐廳推薦(年菜)?年菜.今年不想做年菜推薦,網路宅配哪一家好?

所謂知己知彼，百戰百勝。在第二部分的文章中，筆者將簡單介紹幾種常見的密碼攻擊方式，從反面看看資訊安全的黑暗面，透過瞭解這些破解手法，檢視自己是否是高風險族群，來避免自己成為俎上肉。

針對密碼進行攻擊

要破解加密技術，可以選擇以機構或金鑰為目標，但是設計良好的機構並非那麼容易被破解。而且根據密碼學者奧古斯特‧柯克霍夫提出的柯克霍夫原則，加密機構本身應該公開，即便攻擊者知悉機構，在沒有金鑰的情況下也無法解讀密文，所以與破解整個加密機構，攻擊者不如從金鑰下手。

攻擊金鑰最基本的方式，就是窮舉破解法（也稱為暴力破解法），顧名思義就是不斷嘗試以不同的密碼組合進行解密，直到嘗試出正確的密碼為止。這種方式當然不會由真人進行操作，不然一組一組輸入天早就黑了，所以會以程式自動進行，破解的時間主要受密碼的複雜度影響，當密碼越長、包含的字元越複雜，破解的難度就越高。

為了要降低窮舉破解法花費的時間，有些攻擊者會以字典檔進行攻擊，所謂的字典檔就是將常見的字詞集結成資料庫，在進行攻擊時，會先從資料庫中的詞彙進行嘗試。由於大多數的使用者懶得也不一定能記住由複雜亂數組成的密碼，所以類似「APPLE123」這種由簡單詞彙組成的密碼，就能透過字典檔攻擊快速破解。

▲柯克霍夫出生於1835年，為荷蘭的語言學家、密碼學家，曾任教於巴黎高等商業研究學院。（圖片為公有領域知識財產）

▲根據SplashData提供的資料，2013年最差密碼排行榜前25名，都是窮舉破解法很容意攻破的目標。

也需注意旁敲側擊

攻擊者除了以嘗試的方式猜出密碼之外，還有許多方式能夠騙取使用者的密碼。由於這些方式跟這次討論的主題比較無關，所以筆者僅在此簡單地提及防範措施，並將重頭戲密碼設計的部分放到最後一篇文章中。

旁敲側擊的攻擊方式不外乎騙取、側錄密碼，最直接的方式便是以釣魚網站進行攻擊。典型的釣魚網站會偽裝成一般如Facebook、Gmai之類的網路服務，讓使用者填入帳號與密碼，攻擊者便能直接取得完整資料，另一種釣魚網站會讓使用者以E-mail帳號進行註冊，如果使用者使用與該Ｅ-mail帳號相同的密碼，攻擊者也能順利取得完整資料。這種方式除了能靠使用者自行比對網址、SSL加密憑證是否正確外，也可以透過瀏覽器或防毒軟體的過濾功能，揪出可疑網站。

另一種常見的攻擊手法是使用鍵盤、滑鼠側錄軟體，或是螢幕側錄軟體，分別竊取使用者從鍵盤、滑鼠輸入的資料，或是竊取從出現在螢幕上的動態鍵盤輸入的密碼，這類軟體大多是常駐型的木馬程式，使用防毒軟體不難掃出這些惡意程式。

如果攻擊者覺得要竊取的帳號密碼具有更高的價值，他們可能會以封包監聽的方式，過濾使用者傳輸的所有資料，不過通常來說密碼都會在非對稱加密技術的保護下，以密文型式傳輸，所以攻擊者竊得密文後，還需將其解密為明文，在實作上可能不合時間成本，一般使用者不必特別擔心這種狀況。另一種很有效的攻擊手法，就是直接脅迫使用者供出密碼，比方說把使用者抓起來嚴刑拷問，不過這種情況發生在一般人身上的機會更下，與其擔心這個不如擔心被雷劈到比較實際。

▲有些網站沒有使用SSL加密連線，密碼容易在傳輸過程中遭竊聽。

▲如果使用SSL加密連線，就可以避免被竊聽的情況發生。

延伸閱讀：

安全又不影響速度，無線加密 WPA、WPA2 怎麼選？

Dropbox 同步前先幫你自動加密檔案，使用上很方便，重要資料不外洩

Chrome 超愚蠢的密碼保存策略，任何人不需要駭客技巧就可以看到

標籤：安全防護, 知識百科, 電腦王, 教學, 密碼, 加密, 資安, 技術研究