主页 > 产业新闻 >关于Sony被窃帐的密码分析 >

关于Sony被窃帐的密码分析


关于Sony被窃帐的密码分析

相信许多人都已经知道 Sony 在这两个月不断的被骇客入侵,除了七千多万笔的 SonyPlaystation Network 帐号被入侵盗走之外,Sony 週围的 相关公司也都陆续传出灾情 ,而且发现有超过一百万笔的帐号密码是以明码储存,这些资料已经被人放到 BT 上提供下载。微软的 MVP Tory Hunt 利用此一份资料,做了一些分析,有兴趣的朋友可以直接 参看原文 。

以下是摘自此一篇文章的翻译与解释:Tory 把骇客组织释出的百万笔资料中的 3 万 7 千多笔资料拿出来,并针对以下特徵进行分析,

  1. 密码长度
  2. 字元类型的变化
  3. 随机性
  4. 独特性
关于Sony被窃帐的密码分析
关于Sony被窃帐的密码分析
关于密码长度

93% 的密码长度介于 6 ~ 10 位数之间,50% 以上的密码少于 8 位数,7 位数密码的使用者比 6 位数以及 8 位数的使用者少上一些。

关于Sony被窃帐的密码分析
关于字元类型变化

下面这张图表里的数字包含着这四种分类:

  1. 数字
  2. 大写
  3. 小写
  4. 剩下的
关于Sony被窃帐的密码分析

所以 只有 4% 的人拥有 3 种以上的字元类型。 下面这张图表现只有特定种字元的使用数量,你可以看得出来,单用小写加上单用数字的帐号超过了 9 成。

关于Sony被窃帐的密码分析

只有 1% 不到的人会使用非英文字母以及数字的字元。

关于Sony被窃帐的密码分析
关于随机性

作者以常见单字,作为代表,前 25 最常被使用来作为密码的单字是: 不过上述这些只占 2.5%。

关于Sony被窃帐的密码分析
作者用了另一个方式来评测,也就是密码字典档,它不见得是完整的单字,也许是加上一些数字等资料,来猜使用者的密码,他用的 是这份 有 170 万笔资料的字典档。结果是 36% 的帐户密码包含在这份字典档中。这不代表这些密码太短,而是有些太容易被追蹤出来轨迹的密码已经被放入这份字典档中,像是「1qazZAQ!」这类型的密码,通常都是不合格的。
关于独特性

那幺,使用者在不同帐户间,用的密码是否也相同呢?作者在 Sony 不同的资料库,找出相同的 Email,并试着比对是否这些 Email 在不同的网站时,会採用不同的密码,答是是 92% 的人都是用相同的密码。所以这也是为什幺 Sony 一个站被骇进去后,其他所有的相关网站也会接着破功的最大原因。

关于Sony被窃帐的密码分析

接着作者再拿之前同样被骇客入侵,而洩露出来的作比对,共有 88 笔 Email 资料是共通的,而其中 2/3 的密码是共用的。所以扩大点想,如果有一个人的 Google 帐号被盗了,那幺也许 Facebook、Yahoo 帐号被盗的机率也大幅度提升。

关于Sony被窃帐的密码分析
小结

虽然整个密码分析的结果并不大令人意外,但是颇具警惕性,密码太短、太简单或者太可预料性都是相当危险的,所以也许读者可以参考上面的数据,往反方向移动,就可以避免自己较不被测试出帐号

最重要的是,如果您有使用 Sony 的相关网站或服务,赶快改所有您其他网路服务的密码吧!



上一篇: 下一篇: