最新评估显示,黑客可在短短37秒内以蛮力破解一组简单的8字元密码,攻克一组16字元密码,则要花逾百年。
总部位于美国维珍尼亚州的资讯科技公司Hive Systems公布2024年密码破解时间表,详列黑客破解不同组合密码所需的时间,这破解时间表每年都会更新。
该公司测试的密码是随机产生,如果一组密码曾经遭窃,或采用字典收录的单字,或曾在不同网站上使用过,那么破解所需时间会大幅减少。
评估显示,一组只有数字组成的简单8字元密码,只要花37秒就能以“蛮力”破解;至于一组结合数字、大小写字母和符号的8字元密码,则需要7年来破解,但仍比破解一组只有数字的16字元密码来得快。即使采取只含数字的16字元密码,也需要119年才能试出正确答案。
而在今年这份破解时间表中,破解密码所需时间比以往来得长。
但Hive Systems警告,由于运算能力将在未来数年内提升,破解密码所需时间增加的情况可能不会持续太久。
该公司指出,在密码加密措施日新月异之际,不时更新密码,使用更多字元,包含字母、数字和符号,有助于拉长黑客破解的时间。
而目前许多网站要求设定至少8字元的密码,须含字母、数字或符号,但专家说,这项要求可能需要升级,同时又提倡采用更长的密码,即使相对简单也可以。
虽说密码愈长愈安全,但要管理密码可能会是一项挑战,因此安全储存并加密登录身份验证资讯的“密码管理员”(password manager)就成了很多人采用的解决办法。
此外,“密码管理员”倾向采用独特、复杂的登录方式,因此限制了资料遭入侵的安全风险。
过去常见的建议是经常变更密码,但专家现在强调设定强大且独特的密码,只要未被泄露就可一直使用。一般认为这种方法比常常改密码更有效,因为频繁变更,可能导致使用者采用强度较弱的密码或重复采用相似密码。