2020年10月13日 聯合報 科技．人文聯合講座

你是不是你的你，04840d0？

趙坤茂

在數位世界行走江湖，密碼是最常用來辨認身分的機制，往往一串字符就決定你是你或你不是你。

使用密碼對你我而言已是日常，如何選擇自己記得住而他人猜不著的密碼，實非易事。常見的行李箱密碼如000，提款卡或開機使用的四位數密碼如1234、1111、0000、2020、1314、2580等，六位數密碼如123456、111111、123123、666666等。

今年度《安全性與隱私權國際會議》有篇論文探究使用者解鎖行動裝置時的個人識別碼，該研究發現當採用六位數密碼時，使用者可能因為自然浮現的六位數較少，或誤以為六位數更安全，故傾向集中選擇容易猜測的常用密碼，使得六位數密碼在受限次數的猜測下，其安全性竟然與四位數密碼不分軒輊，有時甚至更差。開機圖型鎖也有類似現象，即使圖型鎖從3x3擴展到4x4，使用者仍傾向選擇常見的簡單圖型，安全度增加有限。

當我們設定密碼時，不求好記，但求能記，要特別留意密碼強度夠不夠。應用軟體及網站的密碼規則除數字外，多會要求加上英文字母、大小寫或特殊符號等。當系統儲存密碼時，通常會透過安全雜湊演算法，將密碼映射到某個固定位數的數值。這樣的雜湊函數值，基本上極難反推原始密碼，駭客僅能以預先算好的映射值彩虹表來破解較短的密碼。例如「你是不是你的你」之鄉民用語為「04840d0」，該字串密碼強度偏弱，只需極短時間即可破解，惟若長度加倍，以目前的破解技術來看，即使地老天荒，也可高枕無憂，故密碼除了隨機多變外，也不能太短，以策安全。

為了補強認證力道，雙重因子認證方式設定兩道關卡，一道是密碼，另一道可以是個人擁有的行動裝置、自然人憑證或明年即將發行的數位身分證，也可以是個人生物辨識特徵，靜態如指紋、虹膜或臉部，動態如聲紋或腦波等，若合符節才得通行。這就如同汽車加裝排檔鎖，多一道關卡增強防盜，雖仍無法完全防盜，卻因解鎖較費勁而相對安全些。

密碼管理軟體可協助產生高強度密碼，並統統幫你記住，但萬一不慎外洩的話，你的數位分身可能不保。另一方面，避免密碼丟掉的最根本方式就是丟掉密碼，創造一個無需密碼的系統環境，例如FIDO聯盟近年力推免密碼通用認證協定，以儲存於個人裝置裡的生物辨識資訊來驗明正身。

如今，通關密語「芝麻開門」眾所皆知，但若藏寶山洞運用生物辨識機制，或許還得阿里巴巴才能打開石門。

【2020/10/13 聯合報】