傳統密碼面對風險

人工智能應用如雨後春筍爆發。從正面看,AI可令工作效率大幅提升,令一般人輕易擁有一些以往需要非常專業技術操作的技能。但凡事必有兩面,利用AI詐騙的技術亦升至新台階。早前巴菲特已經對Al威脅作出警告,戲言他沒有興趣投資於詐騙,否則詐騙將是不斷快速增長的行業云云。除了本文前期提及的利用AI影像及及聲音詐騙外,黑客利用AI技術破解密碼亦轉趨活躍。先看一些數據。最近網絡安全公司 Kaspersky做了一項研究,利用近兩億個已流出的密碼作分析,以聰明推算(Smart Guessing)破解密碼。結果發現45%的密碼能於1分鐘內破解,10%於1小時內,8%於一日內,只有23%密碼有足夠強,需要超過一年時間才可破解。研究又發現57%密碼中包含字典內的詞彙,此舉大幅削弱密碼安全性。破解密碼不需要有深入的知識或昂貴的儀器,只要一台擁有GPU顯示卡的電腦便可。筆者經常向朋友查詢他們處理密碼的方法,發現絕大部份人都依然是使用最傳統的方法,即按照自己定立的規則及習慣,並依賴記憶,而且重複使用密碼的情況非常普遍。面對數以百計的帳戶,繼續使用這樣的傳統方法將面對極高風險。

利用AI推算破解密碼

那些聰明推算到底如何運作?答案就是將大量真實密碼,輸入作人工智能分析,找出設定密碼的模式。研究發現很多人使用特定的方法,例如使用字典內的字將1變成!,a字變成@,又或加上一些明顯字串,例如123或!@字符等。同時使用上述組合亦非常普遍。密碼明顯缺乏隨機性。當得出這些邏輯後,連同已知的密碼,就可大幅壓縮密碼估算。數據越多,AI就越能夠找出隱藏關係。壞消息是,數日前在暗網黑客論壇傳出有人兜售100億個密碼,有指數據庫可能來自真實世界各方洩漏密碼的整合。更壞的消息是,由於流出帳戶眾多,AI學習繼續升級,並且將密碼與帳戶資料聯繫,而且利用開源情報(OSINT),找出更多與這個帳戶相關的資料,嘗試找出與密碼的關聯。舉例,帳戶A密碼流出,OSINT發覺這個帳戶A,是一個車迷,而且密碼當中有汽車型號,從開公開資訊中又發現其它帳戶與帳戶A有密切關聯,可能是同一個人。另一個例子,帳戶密碼內含與網站的內容相關的字眼,例如是網站的關鍵字。這些隱藏的連帶關係,就提供了破解關聯帳戶密碼的方向。順帶一提,極權國家擁有無限權力,侵犯私隱收集數據,並將數據集中,最有條件利用AI破解密碼。

(Freepik)
(Freepik)

密碼管理需全面升級

面對AI對帳戶密碼的威脅,有必要全面提升密碼管理。首先是按風險管理帳戶密碼。重要的個人帳戶,筆者強烈建議利用密碼管理器。這個密碼管理器最好使用開源軟件,且可不用安裝直接執行及完全於下線操作,避開連線及第三方洩露的風險。若有更高安全需要,可將整個程式及其數據庫放在加密儲存庫。密碼應由密碼管理器利用符號數字及大細楷組合生產,只要帳戶容許,應選擇20個位或以上,且任何密碼不可重複使用。請定期更新密碼。提醒更新密碼是密碼管理器基本功能,動作亦相當簡單就是生產生密碼,然後剪貼。緊記對密碼資料庫作出備份。若仍擔心使用密碼管理器,繼續利用個人公式製作密碼,請深入思考確保公式不容易理解,而長度將是關鍵。請檢查所有帳戶及軟件,若容許二次認證的,請馬上使用。若有選擇應避開使用SMS的二次認證,因為SMS並無加密有很多第三方可以看到。是時候減少你不必要的數碼足跡,且避免系統性被收集。使用可信的VPN及注重私隱的瀏覽器會是好方法。減少社交媒體留下個人資訊。另外,帳戶之所以有密碼流出,因為平台儲存你的密碼或其集湊數(Hash)。所以你要開始留意極重要的網上服務,例如電郵或儲存,選用一些沒有儲存理密碼或其集湊數,且將你的資料加密儲存的平台。簡單的判斷方法就是若果你忘記密碼平台可以發送連結讓你重置密碼,這個動作已可肯定平台擁有你的密碼、密碼湊集數或解密鎖匙,這些平台避之則吉。

今天AI處理資訊及學習的速度驚人,落入不法份子及沒有底線的政權手中,巴菲特將此比喻為「核戰」,絕不為過。了解利用AI破解密碼的伎倆,就可讓你及早應對,減低風險。◇

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand