密碼查得到就不是密碼了

密碼忘記了嗎?

有時候會遇到客戶沒好好記住密碼,像是Windows登入密碼、寬頻上網密碼或是Email密碼忘記了,他們總是會問有辦法查得到嗎?

這時候我會反問他們:「如果你的密碼我查得到,那你用這樣的密碼會覺得安心嗎?」

但是就在前不久真的就發生了可以查得到別人密碼的離譜事件:Yahoo證實網站安全漏洞造成45萬筆帳號外洩,為什麼會說離譜呢?因為這麼大一家公司竟然會用明文儲存密碼!

不管你的密碼是儲存在檔案或是資料庫裡面的,只要是有基本安全常識的人都知道要先將密碼用特定的方法「加密」之後再儲存,因為這樣子就算你的密碼檔或是資料庫被竊取,壞人也不一定能解出裡面的密碼

我們從Yahoo會犯這種錯誤來推斷:這家公司不只是螺絲鬆了而已,很可能螺絲早就已經斷了!

加密只是多一道鎖

高手說世界上沒有解不開的鎖,需要的只是時間而已!所以也不是加密再儲存就可以高枕無憂,但是至少有「時間」的緩衝,可以讓災害損失降到最低

而以當今常用的加密金鑰長度要解出密碼,就算是用超級電腦也要花不少的時間,所以加密再儲存密碼才是讓密碼有基本的保護,這是程式設計人員應該具備的常識

而事實上有許多使用者對程式設計人員或是網管人員的權限不瞭解,所以會有這樣子的要求:

我的密碼忘記了,你可以幫我查一查嗎?

正常的密碼是可以查到最終的儲存型態,也就是加密之後的字串,但是抱歉!我們沒有辦法像「終極密碼戰」裡面的那位小男孩有特異功能 - 不用任何工具或程式就可以解密!

所以網管人員是不可能知道你的密碼的,除非在一開始他為你預設的密碼你都很乖沒有變,那網管才有可能知道你的密碼

但是既然身為網管人員(或是電腦維修工程師),就可以在不知道你密碼的情況下幫你重設密碼,這是一般建立一套系統的時候就會考慮進去的救命措施,方法跟現在很多網路服務可以重設密碼是一樣的

密碼查得到就不是密碼了

系統可以不知道你的密碼,但是可以送一封重設密碼的Email給你,而你按下Email裡面的隨機亂數連結就可以重設密碼(當然這個連結也會有時間限制)

相同的道理有許多送修的電腦沒告訴我密碼,我只要用一個重設密碼的程式將密碼清空就可以我的維修工作,修完了再告訴客戶:我已經將你的密碼清掉了,請你自己設立新的密碼

這也就是說:只要實體的電腦落在壞人的手上,裡面是沒有解不開的秘密的!在你送修電腦之前你可曾想過這一點?(謎之音:請找你可以信任的人修電腦)

不過可以安慰一點的是:因為維修人員不可能知道你的密碼,所以如果沒有經過你的同意而更改了密碼(清空也算更改),那你就應該知道你的檔案都被看光了!

所以當你用你原來設定的密碼無法登入電腦或是Email信箱的時候,你第一個該想到的就是電腦或帳號被入侵了,這樣子瞭解嗎?

為什麼不能查到密碼?

看到這裡或許你會有以下疑問:當有人密碼忘記了,就讓系統管理人員幫他查密碼並且告訴他,這不就是最簡單的方式嗎?

可是如果這是公司老闆或是會計主管的密碼呢?那管理人員是不是可是假借名義查到他們的密碼,然後竊取公司的機密資料?

所以最安全的方法就是沒有人可以查到自己或是別人的密碼,因此密碼忘記了才要用那麼囉唆的步驟來重設密碼

你的密碼查得到嗎?

如果你的密碼寫在很明顯的地方,那你這個密碼就有危險了!像是很多人的金融卡密碼寫在卡上,還有用出生年月日或電話號碼當密碼的,這些都像是密碼公開一樣

還有將密碼儲存在電腦的檔名為「密碼.txt」、「password.doc」這種檔名裡面的人,萬一你的電腦被入侵或植入木馬,那肯定壞人會很高興,因為不用找就知道你的密碼去哪裡查了!

這裡我們來看一張某銀行的提款條:

密碼查得到就不是密碼了

裡面要你把密碼填在上面,這樣子還可以叫密碼嗎?

已經是廿一世紀了,請銀行在櫃台放客戶可以自行輸入密碼的鍵盤,不要再用廿世紀的方法把密碼寫在提款條上面了,好嗎?

至於有沒有容易記又很複雜的密碼呢?請看:如何設定複雜又易記的密碼

延伸閱讀:

8 則留言

  1. 之前做班級網頁的時候學校的ftp密碼忘了,打電話過去問我也只說我是學校的學生(沒說哪一班,班導是誰等等),他也沒問我其他問題就把密碼給我了....

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料