不可思議的資訊密碼相關法律-法國

image
根據法國議會正在討論中的一項數據保留法律,如果密碼不是以明文而是以Hash形式儲存,將被宣佈為非法根據這項新法律,電子商務網站、視頻和音樂服務,以及Web電子郵件供應商必須保留用戶數據一年;用戶數據必須包括用戶全名、郵編地址、電話號碼和密碼;如果官方要求網站必須遞交用戶數據,警方、海關、稅務和社會保險機構有權訪問數據。如果法律在議會通過,Google、Ebay等公司的一些服務可能不得不完全退出法國市場。

法國政府的議會應該是被下了魔咒了,竟然宣布了這不可思議的法律,

先簡單介紹一下什麼是 Hash形式 給非資訊相關的讀者:
image
簡單的理解: 你輸入一個數值,Hash方程式會計算,把輸入的數值轉換成另外一種加密文
資訊業界很常用的md5函數就是一種Hash方程式。

md5介紹:
  1. 固定的字串內容必定會得出一個固定的密文,而非每次都算出不同的。
  2. 這是一個單向的演算,意味著,它雖可每次都將同樣的字串內容,算出同樣密文,但它無法從密文反推算出原本的字串內容。
  3. 不同字串內容所演算出來的密文,有可能相同,但根據統計,重覆的機率小於百萬分之一,以重覆率來說,是相當好的演算法。
玩玩看:md5 加密/解密     image 
雖然理論上,md5無法被反向運算,即沒辦法(很難)用數學去反推算密文回去原本的字串。但一些聰明的人士使用了建立md5資料庫的方式,大量收集常用字彙的對照表,如 david 的md5密文是
md5("david") = 172522ec1028ab781d9dfd17eaca4427
md5("com") = 4d236d9a2d102c5fe6ad1c50da4bec50
這種md5資料庫,累積起驚人的數據。變成一種暴力破解。
image
某網站號稱存了7兆多條的md5字庫)
還好,Hash方程式不是只有md5一種,md6也問世了。
未來相信都一直有會更安全Hash函數陸續問世。
image


回到原本的主題。
因為資訊時代的演進,我們目前使用的資訊服務幾乎都是密碼通關,從Email、即時通、FB、到網路銀行、論壇登入,線上遊戲等。
目前主流大多數的網站資料庫內記載的密碼都是使用MD5密文形式儲存:我們將新使用者所輸入的密碼傳給 MD5 演算函數算出密文,之後我們將該密文和使用者 ID 才一併存入資料庫中。
例如使用者帳號為 rock ,密碼為 iloverock ,儲存在資料庫中的帳號資料格式及內容如下:
image
用了MD5密文儲存後,即使是網站所有人或管理的站長,也沒辦法知道你的密碼。這樣的資訊業界共同默契是,好處是保護你和我。
目前因為密碼用太多,大多數的人因為惰性,會用同一組密碼都用通天下,若某個論壇的內不肖員工知道客戶密碼明文,也有客戶信箱的資料(一般論壇都會存放客戶信箱的資訊)。用客戶密碼進入信箱後,很有可能就知道銀行密碼、即時通帳號、FB帳號、甚至獲得所有身家資料、聊天記錄等。
而今天,法國政府竟然要反其道而行,禁止任何資訊公司用Hash方程式把客戶密碼加密,否則違法。
這樣的風險後果實在難以預料,不管是公司系統被駭客入侵、公司內部員工外洩,影響到的客戶將會是面對身家遭受安全威脅的風險。
image
實在難以想像這麼先進的歐洲國家,竟然會想通貴這匪夷所思的法律。

0 意見:

張貼留言

LinkWithin

Related Posts with Thumbnails
top