160 營運網站不當處理用戶密碼,其實也很令人費解。因為自從電腦問世,以至中央電腦系 統使用後,已很清晰地確定,不會直接以明文形式來儲存帳戶的密碼,而是透過密文 (Cipher text)形式來加密儲存。密文形式例如:先使用散列函數(Hash function), 把密碼轉換成一串看似隨機的數字。散列函數的特點是,光看輸出值很難猜出輸入的明 文內容。當用戶登入時,輸入密碼後會經過散列函數轉換,系統會對比轉換結果,以確 認密碼是否正確。這樣一來,系統無需直接比較用戶密碼的明文,又能確認輸入密碼正 確,減少密碼外洩機會;即使系統遭受入侵,入侵者也不能看到帳戶密碼的明文原貎。 竊取密碼從中可圖利 看深一層,若網絡營運者沒有謹慎地處理帳戶的密碼,用戶的確沒有辦法杜絶「洩密」 事故發生,即便如 Meta 和 X 這樣規模龐大的公司也未能堵塞這種粗略處理帳戶密碼 的紕漏,反映用戶自己需要參與網絡安全進行「自保」。事實上,筆者過去在本欄談及 網絡保安問題時,都強調在網絡安全上,用戶也有進行「自保」的個人需要以至責任。 用戶「自保」,首先要理解網絡入侵者攫取這些密碼資料後用來幹什麼?事實上,企業的 網絡系統遭黑客入侵,帳戶的密碼資料遭一併竊取,事故時有所聞。嚴格來說,網絡入 侵者攫取了這些密碼資料,往往未能從中直接得到金錢利益。以 Meta 今次事故為例, 假設這些密碼資料遭外部黑客竊取了,黑客亦未見得能夠馬上從中得到金錢利益。 5 促資訊保安
RkJQdWJsaXNoZXIy NDk5Njg=