搜尋摘要
目錄
博音 · 2026年4月6日 · 37:26 中文

EP219 | 資安專家:美國其實建議不要換密碼 ft. 翁浩正

密碼長度比複雜度更重要:美國 NIST 建議密碼長度達 14-20 字,遠比強制加入特殊符號有效;可預測的規律(如後面加網站名)比短密碼更危險

comedy culture
收聽原始 Podcast

重點摘要

  • 密碼長度比複雜度更重要:美國 NIST 建議密碼長度達 14-20 字,遠比強制加入特殊符號有效;可預測的規律(如後面加網站名)比短密碼更危險
  • 密碼管理工具是現階段最佳解法:將帳號分級(銀行、公司 > 購物 > 論壇),重要帳號優先使用密碼管理工具(如 1Password)產生並儲存獨立高強度密碼
  • 多因子驗證對一般人有效,但非萬能:簡訊驗證碼可被 SIM 卡劫持(SIM Swap)破解;「疲勞轟炸攻擊」(Push Fatigue Attack)則透過大量通知讓使用者不小心按下同意
  • AI 大幅強化釣魚攻擊品質:LLM 可生成完美模仿在地用語的釣魚信件,甚至複製公眾人物聲音進行詐騙電話,傳統「看文法判真假」的方法已逐漸失效
  • 資安永遠是攻防競賽:量子電腦可能讓現有加密法全數失效,後量子加密(Post-Quantum Cryptography)正在研發;而人性懶惰與無知,始終是最難修補的漏洞

詳細內容

風險認知的偏差

主持人博恩以自由攀登者 Alex Honnold 無繩攀爬台北 101 為引子:旁觀者大喊危險,但這些人自己卻常年不運動,罹患慢性病的風險可能更高。這反映出人類對風險的評估往往不理性——瀏覽器明確警告密碼外洩,絕大多數人卻置之不理。

密碼強度的真相

許多網站要求密碼包含大小寫、數字與特殊符號,這是「舊時代」思維——當年 CPU 破解速度有限,複雜度能有效拖延暴力破解時間。但現代分散式運算與 GPU 叢集讓這個假設失效。

NIST 目前的建議:

  • 長度優先:14 字以上,甚至使用一段完整句子
  • 複雜度已不足夠:6 位數字密碼中加一個驚嘆號,對現代駭客幾乎沒有阻礙
  • 避免邏輯規律:「XXX+Google」、「XXX+Facebook」這類自製規則,一旦規律被發現,所有帳號形同洞開

另外,「密碼長度上限 8 字」的網站幾乎可確定使用了過時加密法,本身安全性就堪憂。

密碼管理工具:分級策略

Allen 建議一般人先做帳號分級,再有針對性地強化:

等級例子建議做法
最高級銀行、公司帳號、主要 Email獨立高強度密碼 + 多因子驗證
中級購物網站密碼管理工具,逐步更換
低級論壇、遊戲風險可接受,暫緩處理

密碼管理工具的最大優勢是「滾動式更換」:每次登入時工具會提示密碼是否不安全,一鍵產生新密碼並自動儲存,不需要一口氣改完所有帳號。

多因子驗證的攻與防

簡訊 OTP(一次性密碼)對一般人有效,但有兩個已知攻擊手法:

  • SIM Swap(SIM 卡劫持):駭客假冒身份向電信商申請補辦 SIM 卡,取得受害者門號後,即可接收所有簡訊驗證碼,繞過帳號保護
  • Push Fatigue Attack(疲勞轟炸):針對需要點選「允許」才能登入的系統,駭客持續發送大量推播通知,等待使用者不耐煩而誤觸同意

Passkey(通行金鑰)與生物辨識(Face ID、Touch ID)是目前最被看好的替代方案:無需輸入密碼,駭客難以複製,且使用便利性高。密碼在遠期未來有望完全消失。

釣魚攻擊與 AI 的結合

傳統釣魚信件的識別方式(語句不自然、使用「尊敬的用戶」等非本地用語)已因 LLM 的普及而大幅失效。現在駭客可用 AI 生成:

  • 完全符合台灣用語習慣的詐騙信件
  • 完美模擬中華電信帳單、信用卡通知的格式
  • 透過少量聲音樣本複製特定人物聲音,進行 AI 詐騙電話

公眾人物因公開聲音素材豐富,成為聲音仿冒的高風險目標。

暗網是什麼

暗網並非神秘禁地,只是使用特殊通訊協定(如 Tor)的網路。進入方式:下載對應瀏覽器,輸入類似亂碼的網址即可。

暗網的特點:

  • 網址無法用一般瀏覽器存取,且難以記憶與猜測
  • 交易平台買賣身份證、政府資料、毒品、武器
  • 駭客在此販售從企業資料庫竊取的帳號密碼
  • 無糾紛處理機制,買家常遭詐騙

實體安全的誤解

ATM 六位數字 PIN 碼保護龐大金融資產,看似矛盾,但實際上:

  • ATM 側錄器(Skimmer):犯罪者在 ATM 外加裝讀卡設備,插卡時先複製卡片資料,再轉入真正的 ATM
  • RFID/NFC 感應卡:在擁擠場合可被近距離掃描複製,但各卡片的加密強度不同,高強度加密卡難以快速複製
  • 防護方式:使用具有 RFID 屏蔽功能的錢包或卡套

量子電腦與未來加密

現有加密法(包含 One-Way Hash)的安全性建立在「運算時間夠長」的假設上。量子電腦一旦實用化,暴力破解時間將大幅壓縮,現有加密標準可能全面失效。

學界與業界正在研發後量子密碼學(Post-Quantum Cryptography),設計出量子電腦也難以破解的演算法。這場攻防競賽不會終結——因為人類始終存在。

精選語錄

「你的密碼如果是有規律可被預測的,那基本上就是不安全的。只要我知道了你的規則,我就知道你全部的密碼是什麼。」

「安全性跟便利性永遠在拉扯。你要越安全,成本就越高。我今天要怎麼找到一個方式,讓我可以登入這個網站,不會太麻煩,但又足夠安全。」

「只要有人類在,人類就是最大的漏洞。一種是我不懂,所以我就這樣做了。另一種是我很懶,我知道它不安全,但我還是懶得去做。」

時間軸

逐字稿未包含時間標記,以下為主題推進順序:

  • 開場 — 以 Alex Honnold 攀爬 101 引出風險認知偏差;博恩自白密碼外洩卻未處理
  • 密碼強度 — 網站密碼要求的設計邏輯;長度 vs. 複雜度;NIST 建議
  • 密碼規律的危險 — 可預測模式如何被字典檔攻擊;記憶式密碼的劣勢
  • 密碼管理工具 — 推薦使用,介紹分級策略;一個一個改密碼的現實困難
  • 多因子驗證 — 簡訊 OTP 的原理與侷限;SIM Swap;Push Fatigue Attack
  • 生物辨識與 Passkey — Face ID、指紋;未來密碼消失的可能性;黑盒子信任問題
  • 釣魚攻擊 — 定義與手法;LLM 如何提升釣魚品質;AI 聲音仿冒
  • 駭客思維與商業模式 — 量取勝 vs. 質取勝;潛伏型國家級攻擊
  • 暗網 — 進入方式;交易內容;詐騙風險
  • 實體安全 — ATM Skimmer;RFID 感應複製;防護卡套
  • 量子電腦威脅 — One-Way Hash 的侷限;後量子密碼學
  • 結語與行動建議 — 帳號分級、使用密碼管理工具、開啟多因子驗證

同節目更多集數

相關主題