Pazu 薯伯伯

Pazu 薯伯伯

旅遊寫作人,為最早一批在網上連載遊記的香港人,多年來足迹遍佈歐、亞多國,在喜馬拉雅山麓、東南亞、南亞等地區生活。著有《風轉西藏》、《北韓迷宮》、《西藏西人西事》及《不正常旅行研究所》,分別在香港、北京及首爾出版。作者 Facebook:https://www.fb.com/pazukong;網誌:https://pazu.com/blog;Pazu 兒歌網:https://www.pazu.com;相集:https://www.instagram.com/pazu;Patreon 頻道:https://www.patreon.com/pazu

2021/1/14 - 17:27

零基資安訓練營(二十一):iPhone 手機的密碼應該要長,但要多長?

資料圖片,來源:Darwin Laganzon from Pixabay

資料圖片,來源:Darwin Laganzon from Pixabay

這篇文章只談 iPhone 手機的密碼,至於 Android 手機,情況雖然有異,但大方向還是接近。

iPhone 手機的密碼應該要長,但要多長?先說答案,起碼十一個位。

iPhone 手機的密碼,可以用數字或數字加密碼,理論上用數字加密碼會比較安全,但輸入起來較為麻煩。不過如果單用數字密碼,其實也有一個方法增加其強度,就是加得越長越好,輸入十一個位或以上,最為合適。

廣告

要解釋為何必須設置起碼十一個位的數字密碼,必先解釋一下 iPhone 的解鎖機制。iPhone 解鎖時不是只靠輸入密碼,而是必須糾纏(entangle)機身 UID(Unique ID)才能解鎖。這個 UID 嶔入於硬件之中,所以如果有賊人想破解手機,必須於該手機的硬件上進行密碼破解。

每次嘗試驗證密碼,需要的時間,根據蘋果公司在 2020 年春季發佈的官方數字:解鎖的時間是 0.08 秒,也就是一秒鐘最多可以試 12.5 組密碼。

那麼我們可以做個簡單的計算,先假設一點,賊人能夠無限次輸入密碼,而輸入密碼之間沒有時間限制,那麼使用蠻力(brute force)去破解數字密碼,需要多少時間?

計算一下:

六位數字密碼,從 000000 - 999999,合共有 1,000,000 個組合,每秒可以測試 12.5 組密碼,一百萬組密碼需時 80,000 秒,即 22.2 小時。所以破解六位數字密碼,如果不限次數去試,不需一天!(計算:1,000,000 ÷ 12.5 ÷ 60 ÷ 60 = 22.22 小時)

我們又看一看,不同的密碼長度,蠻力破解之所需時間。

四位數字:0000 - 9999,合共 10,000 個組合,蠻力破解時間 800 秒!
五位數字:00000 - 99999,合共 100,000 個組合,蠻力破解時間 2.22 小時
六位數字:000000 - 999999,合共 1,000,000 個組合,蠻力破解時間 22.22 小時
七位數字:0000000 - 9999999,合共有 10,000,000 個組合,蠻力破解時間 222 小時,9.3 天

看到嗎?當你增加一個位的數字密碼,破解的時間就幾何級數上升。

那麼我們再試試其他密碼長度:

八位數字:00000000 - 99999999,合共有 100,000,000 個組合,蠻力破解時間 3 個月
九位數字:000000000 - 999999999,合共有 1,000,000,000 個組合,蠻力破解時間 2.6 年
十位數字:0000000000 - 9999999999,合共有 10,000,000,000 個組合,蠻力破解時間 25.4 年
十一位數字:00000000000 - 99999999999,合共有 100,000,000,000 個組合,蠻力破解時間 253 年 *

密碼長度 11 個位,破解時間為 253 年。

還嫌不夠長嗎?

那麼看看增加兩個位,需要的時間一下子變成:

十二位數字:000000000000 - 999999999999,合共有 1,000,000,000,000 個組合,蠻力破解時間 2,536 年
十三位數字:0000000000000 - 9999999999999,合共有 10,000,000,000,000 個組合,蠻力破解時間 2,536 世紀

當然,以上的假設,是數字碼密是隨機選取,而賊人可以無限次嘗試密碼,中間又沒有延時。

不過如果你有 Touch ID 或 Face ID,就算密碼再長,只要綁匪能強逼你開機,大概也難以拒絕。

Android 手機的情況雖然有差別,但長位數的密碼,始終是王道。

設置的方法:
在密碼設置裡選擇「自訂數字密碼」,便能使用任意長度的密碼。

這篇文章就只有兩個重點,讀完文章只用做兩點就夠:
👉 一,停用 Touch ID 或 Face ID。
👉 二,開機密碼應該起碼要有 11 個位。

 

參考文件

作者 Patreon / Facebook / MeWe