密碼,從來不是絕對安全的防線
很多人習慣把密碼當成帳號安全的終極防線,認為只要密碼夠長、夠複雜,帳號就萬無一失。但實際上,密碼遭到攻破的途徑並不只有「被算出來」這一種方式。 駭客攻擊密碼的手法大致可以分成三種思路:暴力破解、字典攻擊,以及社交工程。這三種手法的攻擊邏輯完全不同,造成的風險程度也不一樣,了解它們之間的差異,才能知道自己的帳號真正容易在哪個環節被攻破。
暴力破解:用時間與運算力硬碰硬
暴力破解是最直觀的攻擊方式,顧名思義就是窮舉所有可能的字元組合,一個一個去嘗試,直到剛好猜中正確的密碼為止。 這種方式聽起來效率很低,但隨著運算能力的提升,加上駭客可以利用大量電腦同時平行運算,短密碼在暴力破解面前其實相當脆弱。一個只有六位數、且只由數字組成的密碼,理論上可能在極短時間內就被窮舉完畢。 密碼的長度與字元種類,是影響暴力破解難度最關鍵的因素。每多增加一位字元,或多加入一種字元類型(例如大小寫字母、數字、符號混合),需要嘗試的組合數量就會呈指數型增加,這也是為什麼資安建議普遍強調「密碼長度比複雜度更重要」。
字典攻擊:利用人類的命名慣性
相較於暴力破解的盲目窮舉,字典攻擊則是更有針對性的手法。駭客會準備一份龐大的常用密碼清單,內容通常包含真實洩漏事件中蒐集到的密碼、常見單字組合,以及人們習慣使用的姓名、生日、紀念日等資訊,然後逐一拿去嘗試登入。
這種攻擊方式之所以有效,是因為大多數人在設定密碼時,其實都遵循著類似的命名邏輯。像是「密碼加上年份」「寵物名字加上數字」這類組合,看起來個人化,但其實早已被收錄進各種公開或私下流通的字典檔案中。 如果你的密碼曾經出現在某次資料洩漏事件中,即使你後來換了一個新平台使用,只要新密碼仍延續相似的命名習慣,同樣有可能被字典攻擊命中。
社交工程:直接針對人,而不是針對密碼本身
與前兩種純技術手法不同,社交工程攻擊的目標根本不是去「猜」密碼,而是直接想辦法讓你自己親口說出來,或主動輸入到假冒的頁面中。 常見的社交工程手法包括假冒客服來電,以「帳號異常」為由要求你提供驗證碼;或是發送偽裝成銀行、購物平台的釣魚連結,誘導你在看起來幾乎一樣的假登入頁面輸入帳號密碼。這類攻擊完全繞過了密碼強度的問題,即使你設定了再複雜的密碼,只要在情境壓力下放鬆戒心,資訊依然會直接落入駭客手中。 社交工程之所以危險,在於它利用的是人性中的信任、緊張與急迫感,而不是系統或演算法上的漏洞,這也使得它往往是三種手法中最難單純靠技術防範的一種。
三種手法的危險程度比較
如果單純比較攻破單一帳號所需的成本與成功率,社交工程通常被認為是最危險的一種,因為它不依賴密碼強度,只要受害者一時疏忽,再強的密碼也無法提供保護。 字典攻擊則是規模化攻擊中最具效率的手法,尤其當大量用戶仍在使用簡單、重複的密碼時,駭客可以用極低成本同時測試大量帳號,命中率相對可觀。 暴力破解雖然在理論上對任何密碼都構成威脅,但實際應用中,如果密碼長度足夠、且系統本身有設定登入失敗鎖定機制,暴力破解所需耗費的時間與資源,往往會讓攻擊者望而卻步,轉而選擇成本更低的其他手法。
針對三種攻擊手法的對應防護建議
- 設定足夠長度的密碼(建議至少 12 位以上),並避免使用容易被猜到的個人資訊組合
- 每個帳號使用獨立且不重複的密碼,搭配密碼管理工具來記憶與生成複雜密碼
- 為重要帳號啟用兩步驟驗證,即使密碼遭到猜中或洩漏,仍能多一層防護
- 對於來電、簡訊或郵件中要求提供驗證碼、密碼的請求,保持高度警覺,正規客服不會主動要求提供完整密碼
- 定期檢查自己的帳號是否出現在已知的資料洩漏清單中,及時更換可能已經外流的密碼
認識攻擊手法,是建立防護習慣的第一步
了解暴力破解、字典攻擊與社交工程的差異,並不是要讓人對網路使用感到恐懼,而是幫助一般用戶建立更清楚的風險意識。 密碼安全從來不是單靠「設一個很難的密碼」就能一次性解決的問題,而是需要同時考量密碼強度、帳號管理習慣,以及面對社交工程情境時的判斷力,三者缺一不可,才能真正降低帳號被攻破的整體風險。