去年裁員多倒閉多，不過還有一多：駭客事件多。資訊系統被入侵要怪駭客太厲害嗎？不全然，有時候要怪自己太薄弱與太沒意識了。

廿年來一直規勸機關組織要推動網路安全更強的雙重認證的聯邦內政部，近期被其內部監察部門做安全測試，結果被很輕易地破解了萬計的員工帳號，因為該部的安全政策竟允許好猜易想的密碼，例如“password1234”，而且破解的代價不到一萬五。

密碼本身並不常以人可閱讀的形式被盜取，一般在網站和線上服務所創建的密碼，也會以亂碼的形式來加密和儲存，通常就是隨機的字母與數字，例如“password”會轉換成“5f4dcc3b5aa765d61d8327deb882cf99”，所以就算被駭客竊取或者資料外洩，也無法很輕鬆地解碼還原，這叫做密碼雜湊涵式(password hashing)，所以密碼的複雜性決定了一台計算機要花多少時間去破解它。

這不是一般人都知道的常識嗎？是的，所以內政部的資訊系統最低安全要求就只是有個密碼便行了。但一般人不知道這樣的安全只是個假象，因為要花一百年才能解碼的計算機可能是真空管做的，如今隨便一台或幾台個人電腦，可能只要花幾天甚至幾秒，例如那仍還有很多人在用的密碼“password”，用個解碼軟體與一台廉價電腦，幾微秒便解出來了。

內政部監察總長辦公室(DOIOIG)安全測試的電腦設備也很簡單，他們公開說：「我們設置了兩台解碼機，每台8 GPU(總共16)，和一個管理控制台。解碼機本身又有多個開放插槽，讓我們可以增加2、4或8 GPU，執行來自開放源工作分配控制台的任務。GPU是當前可用產品的前兩三代，設立先期作業的視窗挑戰/回應(NTLM)的測試基準，分別是透過12字矇的240 GHs，與透過10 GB字典與3 MB規則檔案的25.6 GHs。實際速度取決於開始進行後，多個測試配置而定。」

經過這花不到一萬五的技術說明後，得到的結果是，頭九十分鐘內便破解了近14,000名員工的密碼，相當於內政部所有帳號的16%，他們的密碼包括了“Polar_bear65”和“Nationalparks2014！”等，一些用常理推斷便可猜出八九的密碼。另外有數百個屬於資深官員，以及可以接觸到敏感資料與系統，安全等級較高的帳號也被破解。在額外的八週測試中，又有4,200個密碼被破解。此外，“password”這密碼還真很被愛用，DOIOIG發現在所有活躍用戶帳號密碼中，有近5%是用這個字來做變化。另外，內政部本身也沒有及時下架無效或未使用的用戶帳號，導致整個部有至少六千帳號易受攻擊。

這樣的結果意外嗎？老實說並不很意外，全世界的政府機關總是「後天下之憂而憂」，只是很意外竟然是由內政部內部監察單位發現是否最先發現便不知了，搞不好駭客已經進出無數次了)，那麼民企是否做得好些呢？就自己承認而被報導出來的，未必很強，其中還有很多是這方面的專門企業，例如密碼管理軟體巨頭LastPass，去年十二月下旬證實，於年初遭駭客入侵了它的客戶加密密碼庫，裡面儲存著客戶密碼與其它機密。

這場真槍實彈的對決證實了魔果然高一丈，不過也相信在股東大會上，LastPass會說道永遠高數尺。LastPass首席執行長Karim Toubba，在一篇帖文中披露了這個消息，他說入侵者利用從一位LastPass員工那偷來的雲端儲存鑰匙，拷貝了客戶資料庫的內容。客戶密碼保險庫的緩存是以「專用二進位制格式」儲存，包含了未加密和加密的保險庫資料。LastPass表示，客戶的密碼保險庫已加密，只能透過客戶的主密碼解鎖，而這密碼只有客戶自己知道。但該公司也警告說，這場入侵的背後網路犯罪分子「可能試圖使用蠻力來猜測您的主密碼，並解密他們所獲得的保險庫資料副本。」

所謂的蠻力可能又如客戶的生辰八字等個資的常理推斷，畢竟記複雜密碼已是現代人的一大痛苦，用自己好記的生辰八字來變化不是一勞永逸的解決之道嗎？何況已經花錢請專業公司幫忙處理這些瑣事了。說多就絕不只一家，防毒軟體巨頭之一的Norton LifeLock，一月中也說從去年12月1日起便被駭客入侵。2021年，頗受歡迎的企業密碼管理員軟體Passwordstate所屬的公司也被駭，把被污染的軟體更新推給客戶，然後駭客們便能從中竊取客戶密碼。

這一連串的密碼爭奪戰簡直比《獵殺U-571》還精彩，然而密碼管理員又已是現代人的生活標配，且在絕大多數情況下也是有益的。但是像這些駭客事件則是個提醒，並不是所有管理員都見得夠格，當然也不見得都會被攻擊或破解，所以根本之道還在自己如何看待網路安全，畢竟怪駭客強不如怪自己弱。

記者 Pegasus J. Juan