搜尋此網誌

2012年4月12日 星期四

[從電影看資安] 密碼真的是”密”碼嗎? - 非法入侵

許久不見的”從電影看資安”系列,今天要跟各位分享”非法入侵 (Entering and Breaking) ”這部電影。去年 (2011) 凱吉大叔也拍了一部叫做非法入侵 (Trespass) 的電影,但是我今天要介紹的這部是 2006 年出版,由 Jude Raw 所主演。

故事一開始,帶到了男主角與其好友所創立的公司遭到小偷入侵。因為工作性質的關係,公司使用了 Apple 的電腦設備,因此財務損失並不算小。除了財務上的損失,電腦內的工作資料與私人檔案也都隨之而去,而這才是更令人感到困擾之事。因為公司安裝了保全設施,所以對於小偷能夠不觸動警報而輕鬆得手,眾人都感到相當疑惑,甚至將懷疑的眼光放到了清潔女工身上。

然而 Apple 設備的吸引力果然驚人,小偷再次光臨男主角的公司,卻在倉促間與男主角好友的車子產生擦撞。因為保全設備一再失效,所以男主角兩人決定靠人不如靠己,每天晚上在公司附近守株待兔。就在追查的過程當中,男主角意外發現小偷的蹤影,並跟蹤到了他家,最後還跟小偷的媽媽來了一段婚外情…雖然男主角犯了全天下男人都會犯的錯,但是最後他還是發現老婆跟繼女才是他生活中最重要的親人,因此在幫小偷脫罪之後,毅然決然地選擇回到家人的身邊。

金衰,公司還沒賺到錢就先遭小偷vlcsnap-2012-04-12-16h37m24s8

蘋果牌電腦跟錢都被拐跑了vlcsnap-2012-04-12-16h38m41s202

明明已經花錢買了保全,但是警報器就是沒叫!vlcsnap-2012-04-12-16h38m59s135

這算是階級的歧視還是警察辦案的經驗談?vlcsnap-2012-04-12-16h39m08s221
好野人,又買了全系列的蘋果牌電腦。vlcsnap-2012-04-12-16h42m36s239

女僕趕快自清一下,免得被趕回家吃自己。vlcsnap-2012-04-12-16h44m05s106

男主角的好朋友因為用下半身思考本著人性本善,所以願意相信她。vlcsnap-2012-04-12-16h44m41s215

開始挖洞vlcsnap-2012-04-12-16h46m22s208

繼續挖vlcsnap-2012-04-12-16h46m29s27

如果再出錯,我就把你把回家公事公辦。vlcsnap-2012-04-12-16h46m37s111

小偷早就”傳變變”,連望遠鏡都拿出來。vlcsnap-2012-04-12-16h48m09s7

喔,密碼不但被看到,連瞎子用聽的也聽到了。vlcsnap-2012-04-12-16h48m55s206

結果當然是…免費的搬家工人又出現了。vlcsnap-2012-04-12-16h50m26s94
抓到理由了,趕快把女僕把回家。vlcsnap-2012-04-12-16h52m09s100

雖然密碼在技術上是一項極不安全的驗證機制,但是因為實在太過方便,所以至今依舊受到普遍的使用。以技術的角度而言,身分驗證的來源可以分成三種形式,你知道什麼 (What you know)、你擁有什麼 (What you have) 以及你是誰 (Who you are),而密碼就是你知道什麼的一種。

以影片中的例子而言,是密碼最簡單的一種形式,也就是不需搭配其他”東西”。而常用來搭配密碼的”東西”,包含帳號、卡片(如提款卡)、乃至於指紋等。在這幾種用來搭配的”東西”當中,帳號其實並不會增加太多的安全性,不過對於使用者身分的稽核,卻是有相當程度的效益。而要達到身分稽核的有效性,一個很重要的前提就是千萬不可以共用帳號,否則將是前功盡棄。如果密碼搭配卡片,因為密碼與卡片分屬你知道什麼你擁有什麼,所以又稱為雙因素 (Two-factory) 驗證,可以大幅提高驗證的安全性。當然,前提是你不會把擁有的東西與其他人分享,而且這樣東西是無法被複製的。所以,我們現在都改用安全性較高的晶片卡來進行 ATM 的交易,而不是容易遭受複製的磁卡。如果再把卡片換成指紋 (你是誰),因為複製難度更高,再加上很難與人分享,所以在理論上可以擁有更高的安全性。

話說回來,使用何種方式進行驗證,通常不是由使用者決定,而是提供系統的一方。如果你恰巧使用到利用密碼來進行驗證的系統 (相信我,你一定會遇到),有很多建議可以讓你選出一個好的密碼。但是再好的密碼,通常還是有可能落入壞人的手上,而這甚至並不需要很高的技術,常見的情況包含:

  1. 偷窺密碼 (Shoulder Surfing)
    你在 ATM 提款的時候”應該”要用身體把打密碼的手檔住,以免其他人看到你的密碼。不過 ATM 提款只看到對方的密碼其實也沒多大用處,除非要把晶片卡一起 A 到手才有用。但是像影片中的女僕,設定密碼時卻不知道小偷正拿著望遠鏡偷窺著,而這就足以讓公司大門敞開了。
  2. 寫下密碼 (Write It Down)
    你知道在辦公室電腦螢幕上貼最多的,除了廠商的聯絡電話跟待辦事項外,應該就屬密碼了。再好的密碼,只要寫下來都是一文不值啊。除了貼在螢幕上,寫在便條紙後直接丟到垃圾桶,更是壞人的最愛,而這招就叫做挖寶 (Dumpster Diving)。別笑,不少知名的駭客都挺喜歡用這招的。
  3. 複誦 (Read Out)
    你曾聽過有人會邊打邊複誦密碼的嗎?老實說,還真不少。尤其是輸入一些不常使用或很複雜的密碼時,邊打邊念可以確定自己不會打錯。是的,下次壞人也不會打錯了。像影片中的女僕,不但選用自己的生日當密碼,還大聲複誦一遍,不出問題才是老天無眼。
  4. 在 Email 或即時通傳送密碼
    在大部分的情況下,Email 與即時通的內容在傳送時是沒有經過加密的。所以只要是有心份子,就可以很容易地透過網路封包偷窺 (Packet Sniffing) 的方式取得你千辛萬苦所想到的密碼。除了有心份子,現在很多公司也都對員工的 Email 與即時通訊內容進行側錄。當然,公司保證這些側錄的資料不會拿來濫用,但是你確定所有經手的人員都剛正不阿嗎? 除了網路,其實電話也是很容易遭到側聽或側錄的通訊方式。

如何選擇好的密碼確實很重要,但是唯有搭配合適的方式,這些好的密碼才能達到原有的預期功效,保護你不受到無謂的傷害。否則,一旦密碼不再機”密”,再複雜的密碼也是毫無用武之地。

About