問:很多聽眾都以為設置的密碼夠長夠複雜,就可以保護到自己的網絡安全,但近日美國國安局(NSA)、網絡安全及基礎設施安全局(CISA)、聯邦調查局(FBI),以及英國國家網絡安全中心(NCSC)聯手發表的報告,顯示俄國人連又長又複雜的密碼都可以應付自如,到底是怎樣一回事?
李建軍:根據英美政府聯合發表的研究報告,俄國情報部門,利用暴力破解的手段,不斷嘗試不同的用戶密碼組合,意圖入侵系統。在過往,夠長夠複雜的密碼,很難遭到暴力破解,往往要千年萬代的嘗試先有機會成功,但電腦運算能力及網絡速度不斷提升,過往要整年去做的事,現在幾年,甚至幾個月已經可能成功。特別是超級電腦可以利用民間買到的處理器去搭建,擁有強大電腦的情報部門成功撞破你的密碼亦十分之正常,因此你絕不能只依靠又長又複雜的密碼。而且太長太複雜的密碼,你自己都會很難使用,加上人的特性,亦限制了密碼的長度以及複雜程度。
問:中國當局可以利用超級電腦網絡,執行暴力破解攻擊,以中國或香港的情況,甚麼人最有可能被當局看中?
李建軍:當然並非每個人的密碼都值得使用暴力破解手段,始終仍然要耗用龐大運算能力,而且相關運算能力,可能需要用於對外情報搜集,甚至模擬核彈試爆等用途,所以只有個別高價值人士的網絡帳戶,才會成為當局的目標。
如果你是律師、社運人士、維權人士、記者等類人士,最容易引起中國當局的注意。特別香港現時的情況,因網絡未做到百分百監控,很多人亦對中國軟件公司推出軟件有高度警覺,要植入木馬相對困難,所以中國更會依賴暴力破解一類工具去試圖取得情報。
問:如果是高危人士,如何防止中國當局利用暴力破解手段成功取得密碼?
李建軍:暴力破解的出現,正正是雙重認證,或者簡稱2FA認證出現的原因,任何雙重認證技術的目的,都是避免對方可以單憑網絡連線,靠猜密碼去成功暴力破解你的戶口。當然,在中國甚至香港的情況,因中國當局可以透過電訊公司攔截單次使用密碼,以手機短信為本的雙重認證技術已不再可靠。但利用手機應用程式,或者硬體金鑰進行雙重認證,因為涉及黑客無法取得的認證用軟硬件,所以對方有多強大運算能力都不會成功。因此,一定要使用短信以外的雙重認證技術,以防止中國當局利用暴力破解手段取得密碼,造成個人資料外洩。
問:雖然大部分有名的網絡服務,如GMail和臉書等都有雙重認證支援,但如果自己組建的主機,或一些組織建的小型主機,沒有雙重認證支援又怎辦?
李建軍:自己建的Wordpress一類主機,其實有免費插件支援雙重認證,因為雙重認證已經是業界標準,你可以在網上找一找各式各樣的插件。
如果你所屬的組織建的小型主機,缺乏雙重認證支援,而組織技術人員不知如何安裝有關功能的話,你只能避免使用相關服務。其實俄國的攻擊目標,都是有安全漏洞的舊版微軟Exchange電郵服務,其本身設計就沒有涵蓋雙重認證的支援,情報人員想用暴力破解相關主機亦變得相當正常。那只能避免在這類型Exchange主機負責電郵上商談敏感話題,或者將你的電郵先加密,只有對方有私鑰才能開啟,避免一旦有人戶口被成功破解導致的內容外洩。
要注意的是,如果你不肯定收件人所屬組織的主機支援雙重認證,在一些涉及敏感話題的電郵加密,不失為一個安全謹慎的做法。因為對方都有可能受到暴力破解的影響,只考慮到自己的安全,是不夠周詳。