【MarketTrend】6位数字密码如同虚设

作者：Gemalto亚太区资讯安全高级经理伍尚池

相信大家对飞行里数并不陌生，透过搭乘航班、酒店住宿、外出用膳、信用卡签账等方式以消费金额换取相等飞行里数，赚取一趟旅程的机票。因此，很多人会申请相关账户，以恒常消费兑换优惠。

一间在香港享负盛名负责飞行里数的公司在全港已累积拥有 140 万会员，但早前其会员账户持续遭飞行里数大盗入侵。根据警方接获的报案数字，今年 1 月至 2 月底，共 121 个飞行里数账户被入侵，盗取 470 万里数及 20 多万元积分礼品。

警方网络安全及科技罪案调查科指出，相信有人以不法手段取得客户的登录账户密码，然后非法登入这些户口，把其飞行里数转至其他户口。上述事件反映，客户登入账户过程的安全已敲响警号，但飞行里数公司仍然沿用 6 位数字组合密码，此等保安措施其实极易破解，如同虚设。

根据数码保安供应商 Gemalto（金雅拓）发表的 2014 年第四季外泄水平指数，单是去年已录得超过 1,500 宗数据外泄事故，涉及 10 亿项数据纪录，较 2013 年的数据外泄事故有 49% 增长，数据纪录被窃或遗失则足足有 78% 增长。资料外泄愈来愈严重。眼看此等犯罪案件数字不断上升时，企业更需要考虑采用以数据为中心的数码威胁，以更佳的身份和存取控制技术，如多重身份认证和使用加密和密钥管理保护敏感数据。

双重认证较可靠
以今时今日的科技，数字密码对黑客而言已不是什么威胁，只需运用相关软件，黑客便可在短时间内破解密码。因此，单靠一组以 6 位数字组成的密码实在不能达至理想的保安程度。

其实，只需要多加一重认证，达至双重认证，便可进一步加强存取资料时的保安程序。相信今年将有更多配备指模读取装置的手机在市场推出，适用于手机的简易连接技术亦将继续涌现，令身份认证方法变得更多样，例如 SMS 确认网上服务的身份认证。

简单而言，假若飞行里数公司实施双重认证，下次当客户登入账户时，随了需要输入 6 位数字密码外，同时间还需要输入一个经 SMS 接收的一次确认码，即使飞行里数大盗偷取了客户的账户密码，仍欠缺 SMS 认证码存取账户，令盗取的资料变得无价值，同时亦是保护客户及公司的重要工具。