前陣子討論到 15 位長密碼及 RTX-5080 GPU 破解六位複雜密碼 SHA256 雜湊只需要 35 秒，許多朋友提到：密碼用中文字元，破解難度可瞬間增加 N 倍。 參考密碼長度與複雜度所需暴力破解時間提過的公式，破解難度及所需時間與「侯選字元數量密碼長度」成正比。而依 Hashcat 的算法...

近期喜獲一批新鮮算力，我開始想些有的沒的，其中有個想做很久的實驗 - 用 GPU 暴力破解密碼，終於有機會實際來玩一下。 相關議題之前討論過很多次，老讀者們應該都不陌生： 密碼要怎麼儲存才安全？該加多少鹽？-科普角度 試玩 SHA256 密碼雜湊暴力破解 計算不同密碼長度與複雜度所需暴力破解時間 ...

這兩天有則新聞引發討論，某資安長自豪在公司推行 15 碼高強度密碼，靠奇招築成駭客難以突破的鐵牆... 還是雜誌社懂玩，下了個「強制推行15碼密碼，駭客就會"累到放手"？」的標題，「累到放手」給人「駭客坐在電腦前試密碼試到手軟」的畫面，還不忘加上問號撇清責任。貼文不意外地引發熱議...

在外吃飯，手機接到土砲 SIEM 傳來一連串警示，顯示有個 IP 正在對某對外網站嘗試各式各樣的無效 URL，研判是惡意機器人正在探索漏洞準備攻擊。(總不會是公益團體在幫人免費做滲透測試吧？) 這種事在網路每天都在上演，網站只要 IP 對外就絕對會遇到。攻擊者會放出機器人在 Internet 四處亂...

前幾天有則資安相關新聞，有名高中生竄改悠遊卡餘額後去自助退費機台退刷或小額支付購物，成功變現了數十萬元。坦白說，看到新聞我沒太驚訝，因為類似的事 14 年前(2011)已經上演過一次，不意外地人也很快被抓，最後判刑 2 年，緩刑 5 年，另外要賠 100 萬及義務教電腦 240 小時。 由此看來，偷...

這幾天有則大消息 - 合規改善不符要求，Chrome 8 月起停止預設信任中華電信 TLS 新憑證 by iThome。 簡單來說，Chrome 瀏覽器憑證預設信任設定將進行調整，Chrome 139+ 版本將不再預設信任中華電信 2025/08/01 之後發行 TLS 憑證，7/31 之前發行的網...

上週聽到一則駭人聽聞的資安新聞：韓國最大電信業者 SK Telecom (SKT) 遭駭客入侵導致關鍵資料外洩，歹徒得以複製出一模一樣的 SIM 卡分身，跟原本的 SIM 同時宣稱自己是本尊。 若真假 SIM 卡手機同時開機，兩張 SIM 卡將互相搶占網路連線(電信廠商有機會偵測異常並同時停用)；若...

Python 跑 Flask 的實驗性質小網站丟到 Internet 上跑，由於 Debug 模式會即時顯示每筆 HTTP 存取，我活生生看到一堆噁心的存取記錄： 喵的，這個沒公開的網站，上線沒幾分鐘馬上招來一堆惡意機器人上門，四處翻找想看你是不是有犯什麼低級錯誤，有沒有檔案可以偷回家，有沒有漏洞...

本週開源界與資安界有則大新聞：程式庫 XZ Utils近期被植入後門 by iThome 特別讓人震驚是因為 XZ Utils 是 Linux 很基本很常用的壓縮程式庫，若真的被成功植入擴散到現存的 Linux 系統，後果不堪設想。而攻擊手法也很罕見，攻擊者假扮自願程式維護人員多年，於今年二月底才發...

同事分享資安知識一則：在網頁引用 Host Header 可能形成資安弱點，給予攻擊者操作重新導向或引用惡意程式的機會。特筆記備忘。 使用 IIS + ASP.NET 示範如下： <%@Page Language="C#"%> <html> <...

實體金鑰方便又安全，但前題是私鑰檔案必須妥善保管，一旦被偷走前功盡棄，白忙一場。存到離線媒體會比放在電腦硬碟安全，即便被人遠端控制或偷用電腦，也沒東西可偷。故在備份好金鑰並存入實體金鑰後，應該馬上將其從電腦中刪除，也要避免上傳到雲端，讓檔案從物理上與網路隔離以策安全。保管好除了避免被偷，還要確保資料...

用 .NET 程式加解密不是新鮮話題，但如果是用 .NET 程式整合 USB 實體金鑰加密資料，做到沒實體金鑰不知 PIN 碼就解不開，聽起來是不是就有點意思了？ 土砲 USB 金鑰 Side Project 持續進行，產生及設定金鑰、使用 GPG 加解密、登入 SSH 都沒啥問題，下一步我想拿來做...

若對這個主題一頭霧水，以下是一些背景知識： 用金鑰取代密碼登入 SSH 伺服器或 SCP 傳檔的好處：免敲密碼登入超方便、金鑰安全強度比文字密碼高 從 Windows 使用金鑰免密碼登入 SSH/SFTP/SCP Windows OpenSSH 伺服器筆記 實體金鑰的安全性比金鑰檔更上層樓，私鑰鎖...

ASP.NET 老人們應該知道 web.config 有個 <compilation debug="true/false" /> 設定，啟用後網站會跑得比較慢，但能提供較多偵錯資訊，有利於開發測試。 ASP.NET 啟用偵錯模式(Debug Mode)後會出現以下行為...

如果你對 GPG(GnuPG) 跟 ECC 金鑰沒什麼概念，這裡先提供一些背景知識。 GPG (The GNU Privacy Guard，又稱 GnuPG)，是一套實作 OpenPGP 標準規開源軟體，使用 Windows 的同學或許較少接觸，但它成為 Linux / macOS 內建工具很久了，...

若你跟業內人士說你在系統裡使用了 MD5 雜湊，多半會得到以下反應： 茄~ MD5 雜湊早在八百年前就被證實為不安全，你居然還在用？ 自從差分攻擊法問市，MD5 安全性已蕩然無存，幾秒就能破解 道理我都懂，但心中仍有疑問： 即使 EXE 檔附上 MD5 碼驗證，駭客都能輕鬆能做出一植入木馬，檔...