密碼 – 科技島-掌握科技新聞、科技職場最新資訊

12小時破解Windows管理員密碼！Google Mandiant釋出「彩虹表」勸老闆們別再用微軟舊系統

鄧天心 — Sat, 17 Jan 2026 08:08:45 +0000

Google旗下資安公司Mandiant日前公開釋出一套針對微軟NTLMv1身分驗證協定的「彩虹表」（RainbowTable），證實駭客僅需使用市價不到600美元（約新台幣1.9萬元）的電腦設備，即可在12小時內暴力破解管理員密碼，Mandiant盼藉此舉能迫使仍在使用舊技術的企業加速系統升級。記者鄧天心／綜合報導

Google旗下資安公司Mandiant日前公開釋出一套針對微軟NTLMv1身分驗證協定的「彩虹表」（RainbowTable），證實駭客僅需使用市價不到600美元（約新台幣1.9萬元）的電腦設備，即可在12小時內暴力破解管理員密碼，Mandiant盼藉此舉能迫使仍在使用舊技術的企業加速系統升級。

[caption id="attachment_204123" align="aligncenter" width="1024"] Mandiant釋出彩虹表，12小時攻破Windows管理員密碼。（圖／123RF）[/caption]

找回Google密碼功能遭破解！資安研究員三步驟實測結果曝光

孫敬 — Tue, 10 Jun 2025 10:34:17 +0000

根據資安研究員BruteCat的消息指出，他透過無JavaScript模式中忘了關閉的帳戶復原服務，暴力破解並取得Google使用者帳戶的電話號碼。記者孫敬／編譯

根據資安研究員BruteCat的消息指出，他透過無JavaScript模式中忘了關閉的帳戶復原服務，暴力破解並取得Google使用者帳戶的電話號碼。目前這個漏洞已經被修補，主要利用Google老舊的「無JavaScript」使用者名稱復原表單，成功繞過了既有安全防護，導致用戶敏感的個人資訊面臨外洩風險。

這項漏洞的核心，聚焦於Google一款不再啟用JavaScript的舊版使用者名稱復原系統。資安研究人員發現，這個看似已被遺忘的「端點」（即系統入口），竟能被操控來驗證特定電話號碼是否與特定的顯示名稱相關聯，從而為系統性地列舉（即逐一猜測並確認）電話號碼創造了可趁之機。

延伸閱讀：OpenAI資安報告：俄羅斯、中國駭客已深入利用ChatGPT開發惡意軟體

[caption id="attachment_156144" align="aligncenter" width="1200"] 資安研究員三步驟突破Google找回密碼的功能。（圖／科技島圖庫）[/caption]

駭客攻擊手法揭密：IP輪替與憑證重用突破防線

該攻擊手法主要分為三個關鍵步驟：

取得目標顯示名稱： 駭客首先透過Google旗下的資料分析工具Looker Studio，轉移文件所有權，便能在無需任何互動的情況下，竊取受害者的Google帳戶顯示名稱。
獲取部分電話號碼提示： 接著，駭客啟動Google的「忘記密碼」流程，系統會提示用戶其帳戶連結的電話號碼末幾碼，藉此取得部分遮罩的號碼提示。
暴力破解完整號碼： 最後，利用自行開發的工具「gpb」，攻擊者針對已知的使用者顯示名稱，透過組合測試的方式，暴力破解出完整的電話號碼。

研究人員能夠繞過Google的速率限制（Rate-limiting）防護，是此攻擊成功的關鍵。他們巧妙地運用了龐大的IPv6位址範圍，得以在每次請求時輪換不同的IP位址，有效規避了Google的濫用防禦機制。此外，研究人員還發現，從啟用JavaScript的表單中獲取的「機器人防護憑證」（botguard tokens），竟能被重複用於「無JavaScript」版本，從而規避了可能阻擋自動化攻擊的驗證碼（CAPTCHA）挑戰。

這項攻擊效率驚人。研究人員僅使用一個每小時成本0.30美元的普通伺服器，便能實現每秒約4萬次的驗證。根據國家代碼的不同，取得完整電話號碼所需的時間也各異：對於新加坡等較小的國家，可能僅需數秒；而對於美國這樣人口眾多、電話號碼組合複雜的國家，則約需20分鐘即可破解。

資安漏洞的啟示與應對：遺留系統成資安盲點

Google於2025年4月14日接獲此漏洞通報後，迅速採取行動。在研擬永久解決方案的同時，公司立即實施了臨時性緩解措施。最終，Google於2025年6月6日全面關閉漏洞所在的「無JavaScript」使用者名稱復原功能。

Google內部高度認可了這項發現的嚴重性。初期，Google向研究人員提供了1337美元的漏洞獎金；但在研究人員爭取，強調此次攻擊「無須任何前提條件」且「無法被偵測」後，Google將獎金提高至5000美元。

資料來源：Cyber Security News

我的密碼外洩了嗎？｜專家論點【Huli】

Huli — Tue, 30 Aug 2022 02:10:00 +0000

之前我們談過了網站通常會怎麼保管你的密碼，也談過了該怎麼保護自己的密碼，只要一組密碼外洩，有可能導致其他服務也一併淪陷。而這次就讓我們單刀直入，直接問一個問題：「該怎麼知道自己的密碼是不是外洩了？」

圖片來源：freepik

如果你是用 Chrome 瀏覽器的話，在你登入某些網頁時，可能會看過一個彈出視窗上面寫著：「你使用的密碼已外洩，建議更改」之類的字眼，而 Chrome 又是怎麼知道的呢？除了 Chrome，有沒有別的服務可以使用呢？

原理是這樣的，有些服務（例如說 Chrome 的檢查密碼是否外洩的服務）會去搜集各種外洩的情報，這些資料在暗網或是某些資安廠商都有管道可以拿到或是買到，拿到了資料以後，就可以建一個外洩事件的資料庫，裡面有每一筆外洩的資料。當你輸入密碼的時候，這些服務就去資料庫裡面檢查，看這筆密碼或是這個帳號有沒有在資料庫裡面出現，有的話就代表你的個資早已外洩了。

這些資料庫裡面有些會有我們上一篇提過的，hash 過後的密碼，也有些網站的資安沒有做好，所以密碼直接以明文存在資料庫裡面，這種也是有。

而這類型的檢查服務有幾個，例如說 have I been pwned：https://haveibeenpwned.com/

只要輸入你的 email 就可以檢查，還有另外一個 Firefox 提供的服務：https://monitor.firefox.com/

一樣只要輸入 email，就會去資料庫查詢，告訴你外洩的資料庫中是否有這筆 email 的存在。除此之外，也會告訴你更多細節，例如說是哪個網站外洩，發生在什麼時候等等。雖然說資料庫裡面可能會有你的密碼存在，但這些服務並不會告訴你密碼是什麼，原因是如果有這個功能的話，遭到濫用的可能性很大。舉例來說，我可以輸入別人的 email，就得到它外洩的密碼，這樣不是很危險嗎？

因此，這些網站只會告訴你有沒有外洩，以及外洩了什麼資料，並不會告訴你外洩的資料內容是什麼。

建議大家都可以拿自己的 email 去查，去查查看是否密碼已經外洩，如果外洩的話，就代表這組密碼已經不安全了，強烈建議儘速換一組新的密碼。

話說上一篇裡面最後有提到密碼管理軟體，上次介紹的 LastPass 這幾天剛發生資安事件，在選擇這些密碼管理軟體時，也要注意這些軟體本身的安全性，可以多搜集一些資料再做決定。提供這類型服務的公司有不少，例如說另一個很有名的就是 1Password。如果自己懂技術的話，也有其他的開源方案可以選擇，不一定要選擇商用的服務。

雖然技術上來說，這些公司其實都沒有儲存你的密碼，你的密碼只有自己知道，他們存的都只是用你的主密碼加密後的結果，但還是選擇信譽良好的廠商會比較好。

網站都是怎麼儲存你的密碼的？｜專家論點【Huli】

Huli — Tue, 23 Aug 2022 02:10:31 +0000

在談談該怎麼保管自己的密碼以前，先跟大家分享一個小知識，那就是一般的網站都是怎麼保存你的密碼的。

圖片來源：freepik

在談談該怎麼保管自己的密碼以前，先跟大家分享一個小知識，那就是一般的網站都是怎麼保存你的密碼的。

之前我有提到說如果駭客入侵，把儲存資料的資料庫整個偷走，那你的密碼不就一起外洩了嗎？有些人可能會想說「不過是一筆密碼外洩，這有什麼？很嚴重嗎？」。

但事實上，有許多人在不同網站上都會使用同一組密碼，或是經過一些可辨識的「變形密碼」，例如說主要密碼是 123456，在 Google 就是 google123456，Facebook 就是 facebook123456 之類的，這些就被我稱之為可辨識的變形密碼。

如果你的密碼在不同網站上都用同一組，或是用上面這種很容易被猜測的規則設置不同密碼，假如駭客拿到了你的其中一組密碼，就可以嘗試登入其他服務。舉例來說，明明就是某線上書城的資料外洩，卻連帶導致你的 Google 帳號也一起被盜了！所以，儘管只是一筆密碼外洩，也有可能連帶造成你其他的服務都跟著一起淪陷，這就是可怕之處，而這種攻擊通常稱為「撞庫」攻擊。

那該怎麼辦呢？

這可以從兩個方向著手，一個是網站應該更安全地儲存你的密碼，另一個則是避免使用相同或是可辨識規則的密碼。

事實上，一個做得好的網站，其實不會儲存你原本的密碼，只會儲存經過「一些變換」後的密碼。舉個例子，假設現在有個網站儲存密碼以前都會做轉換，a 變成 1，b 變成 2，以此類推，數字跟符號維持不變，如果我的密碼是 abc123，就會變成 123123，接著網站就把這一串字存到資料庫裡面，而不是儲存原始密碼。

當使用者登入時，網站就用一樣的規則轉換，去檢查跟資料庫儲存的是否相符，不符合的話就代表輸入錯誤。

舉例來說，我輸入 aaa，網站轉換完以後是 111，跟資料庫中的 123123 不符合，登入失敗。我輸入 abc123，轉換完是 123123，跟資料庫中的一致，登入成功。

假設今天駭客入侵了資料庫，拿到了 123123，他也不會知道原始密碼是 abc123，因為 123123 也有可能是 abcabc 或是 12cab3 轉換而來。

這種「可以從 A 轉換到 B，從 B 卻沒辦法轉回 A」的操作，我們稱之為雜湊（hash），網站通常就是用這種方式儲存你的密碼。

不過，上面這種轉換方式是大幅簡化過後的結果，實際上的轉換規則會複雜很多。例如說，上面的 123123 其實反推回原始密碼，雖然有很多種可能性，但是是可以窮舉的。

這是因為我簡化了轉換方式，實際在用的轉換會更複雜，讓你真的沒有辦法反推回去，例如說有一種叫做 SHA-256 的演算法，

abc123 轉換完是 6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090

abc124 轉換完是 cd7011e7a6b27d44ce22a71a4cdfc2c47d5c67e335319ed7f6ae72cc03d7d63f

只是差了一個字母，結果就差了十萬八千里。

我以前有寫過一篇更詳細的文章，可以參考：為什麼忘記密碼時只能重設，不把舊密碼告訴我？

網站儲存了 hash 過的密碼以後，儘管資料庫被偷，駭客依然無法輕易取得原始密碼，為使用者增加了更多的安全性。

接著讓我們回到管理自己的密碼這一塊，其實目前大多數人比較推薦的方法都是使用密碼管理的軟體，例如說 LastPass 之類的服務，只要記住一組主密碼就好了，不需要管其他密碼，也能保證你在每個網站的密碼都是獨一無二的，一個站的密碼被偷，並不會影響到別的網站。

再者，密碼管理軟體也有其他好處，例如說會提醒你某一組密碼用太久該換了之類的。

用了這種軟體以後，要更加重視的就是對於主帳號的保護，可以把所有心力都放在這邊，例如說一定要開啟所謂的二階段驗證，在登入的時候除了需要帳號密碼以外，還需要用 email 或是簡訊收取一組驗證碼，做第二層的驗證以後才能確定登入。

有誰知道你的密碼？｜專家論點【Huli】

Huli — Thu, 18 Aug 2022 09:20:44 +0000

這次的主題想跟大家談談「密碼」。你記得你的每一組密碼嗎？在這個網路時代中，有些網站會使用所謂的「第三方登入 …

這次的主題想跟大家談談「密碼」。

你記得你的每一組密碼嗎？

在這個網路時代中，有些網站會使用所謂的「第三方登入」，例如說可以用 Facebook、Google 或是 LINE 的帳號來登入，而不是額外再用 email 註冊一個帳號。這樣的好處之一就是對使用者來說可能會比較方便，因為不需要花心力再去記憶一組新的密碼，而對網站本身的好處就是不需要去儲存使用者的密碼等等，少了一些管理的成本（但相對來說也會需要額外時間去串接第三方的登入系統就是了）。

不過壞處的話則是沒有辦法掌握全部的資料，而且依賴於第三方，假設這個第三方有一天倒了，那基本上網站的會員登入系統就沒了，需要重新修正。

除了這些使用第三方登入的網站以外，也有許多的網站都需要註冊以及登入過後才能使用，也因為如此，我相信大家應該都有很多組帳號跟密碼，而當帳號以及密碼變多以後，管理就變成了一個大問題，不知道大家是怎麼去記憶以及管理的呢？

或者換個角度想，大家有沒有想過你註冊的服務，是怎麼樣管理你的密碼呢？例如說，如果駭客入侵，把儲存資料的資料庫整個偷走，那你的全部個資不就外洩了，密碼也外洩了，這樣不是很危險的一件事情嗎？那到底那些服務應該怎麼樣管理密碼比較好呢？

歡迎大家提出自己管理密碼的一些方式或秘訣，以及覺得怎樣儲存密碼的方式比較安全，在下一篇裡面我也會提出一些常見的做法。