Mozilla 洩漏密碼自保法

Firefox 瀏覽器製造商 Mozilla 外洩 76,000 筆開發人員郵件地址，以及 4,000 名會員的密碼，引起不少用戶的恐慌。但其實事件並非如大家想像般那麼嚴重，只要一些簡單的方法便可避免中招。

多日來媒體的報道，難免令人覺得事件越鬧越大，很多人反面不大了解事件的本積。首先這次的受害者是 76,000名「開發人員」，如果你不曾在 MDN（Mozilla 開發者網站） 註冊帳號，那你外洩郵件地址的機率是零。除非你的運氣不太好的那 4,000 位使用者，Mozilla 雖然把密碼也一起公開了，但流出的密碼都是「加密」過的，也就是說能看到的都是亂碼。由於加密的方式是「不可逆轉」的，以現時的技術不可能利用加密的密碼反查出密碼本身，所以是十分安全的。當然要改密碼也可以，如果你是普通使用者，也就是帳號註冊來同步書籤、設定使用的，請進入「這個頁面」便可變更你的密碼。

為什麼我會說很安全？因為我了解 Mozilla 採用的加密機制。一般的加密手法是用密碼生成一個名為 Hash 的值，例如當密碼是「hello」時，其 Hash 值如下。
2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824
只要改變其中一個英文字母，Hash 值都會變得完全不同。例如當密碼是「hbllo」時，其 Hash 值如下。
58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366
利用 Hash 值的缺點是生成的值是固定的，於是便有人會利用字典的字預先生成 Hash 值，然後與外洩的 Hash 值作對比，這就是常說的「字典攻擊」。只要你使用字典裡有的字作為密碼，就有可能被人用這種方法破解。Windows 便是利用 Hash 值加密的，因此只要用一個名為 Rainbow Tables 的工具，就可以破解 Windows 的登入密碼。 Mozilla 採用的加密方式是 Salted Hashes，同一個字每次生成的 Hash 值都不一樣，因此無法利用上述方式破解。網路上任何機構隨時都有資料外洩的可能，只要認清事實，有必要時採取措施保護自己就足夠了，用不著太慌張。