許多網站會要求設定密碼時必須用英文及數字混雜、輸入至少8個字元,或至少要有一個大寫字母等規定,國外一名工程師近日在Twitter上表示,根據密碼資料庫(HIBP)統計,有一組「ji32k7au4a83」密碼出現的頻率,竟高達百次,令他感到相當困惑,不過,這則貼文引起許多媒體關注,甚至有台灣人網友一看就知道答案,立即出面解答。
Have I Been Pwned 是一個信箱驗證網,由安全專家Troy Hunt 創立,使用者可以透過該網站來了解個資是否外洩,網站的密碼搜尋功能,也能檢視自己的密碼是否被人使用過。
該名工程師說,「ji32k7au4a83」這個看似隨機的數字字母串,卻在網站的數據庫出現了一百多次,讓他大呼不解。
有網友隨即表示,「ji32k7au4a83」只要用「注音輸入法」輸入,會發現「ji32k7au4a83」就是「我的密碼」,這篇文章也在網路上引起熱議,很多台灣人表示,常用類似的方法來設定密碼,像是「ji394su3」(我愛你)等。
不過,從HIBP網站統計來看,使用注音輸入法設定密碼,安全性仍然不足,且類似狀況不只發生在台灣。
網路安全密碼管理公司 SplashData 去年發表的 2018年最糟糕網路密碼就指出,「123456」和「密碼」(password)是蟬聯6屆冠、亞軍的最爛密碼,其他還有像是「陽光」(sunshine),「我愛你」(iloveyou)都非常常見,甚至連美國總統川普的名字「唐納」(donald)都上榜。
SplashData也建議民眾,在不同的網站最好設計不同密碼,或是以12個以上字符來組合密碼,才較為安全,若其中一組密碼被盜用,至少其他帳號還能繼續使用。
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— Robert Ou (@rqou_) 2019年3月1日