不知道大家是否有跟我一样类似的经验,有一个几乎每天都会都入的网站,某一天,网站系统要求你基于安全考量,必须要变更你原本已经很习惯使用的旧密码,当下,想了一个很有原则、自以为一定会记住的密码后,但是,在下次登入网站时却发现,输入的却还是原本已经习惯输入的密码,先前新变更的密码却是怎么样都想不起来,几次的输入失败后,只好默默的按下网站上“忘记密码”的按钮,重新设定“新”密码。
但是,在重设密码的过程中,或许有很多使用者会感到麻烦,觉得只是单纯设定一个密码而已,为什么还要有那么多规定呢?以设定苹果Apple ID的密码设定原则为例,至少要8个字母,要包含英文大写和小写字母在内,也必须包含一个数字,这也是多数网站在设定密码的普遍要求。
烂密码设定原则:简单、随处可见、不用花大脑
“对骇客而言,没有破解不了的密码,只有要花多少时间破解的密码而已。”早期许多人的密码设定相对简单时,好记不容易忘掉是最主要的设定方式,也因此,有一些骇客甚至有一个完整的使用者数据库,包含某个账号使用的不同密码,或者是透过字典式的暴力破解方式,就可以在几天之内,破解某个网站使用者的密码,进而控管使用者的账号。
但是,现在使用者每天要登入或使用的网站服务越来越多,每一个网站甚至都包含许多重要的个人资料在内,如果骇客可以掌握使用者的账号和密码,每个使用者资料形同袒荡荡地对骇客们公开。
因为好的密码管理就是一种对于个资的基本保护,使用者更应该要避免使用容易被破解的烂密码,确保账号的安全性。以日前密码管理程式供应商SplashData公布的2015年最烂的10个密码为例,依序排名是123456、password、12345678、qwerty、12345、123456789、football、1234、1234567及baseball,其中123456和password更是过去从2011年~2015年最烂密码排名前二名。
观察上面烂密码的共通特色,就是“简单”、“随处可见”加上“不用花大脑”,像是设定连续数字的密码设定,往往都是满足该网站密码设定的基本字数限制,如果早期网站设定密码至少要6个字母,有些人在设定密码时,就是设定越简单越好,依序设定阿拉伯数字为密码,长度则以符合网站对密码长度的限定,这样的密码设定使用者绝对不会忘记。
若是设定密码为password,对于以英文为母语的民众而言,设定密码时,使用者就可以照着网站设定密码栏目上的“Password”,照本宣科输入password作为密码即可,;另外若是按照键盘字母的排列设定“qwerty”为密码,也是一种看着键盘输入密码的方式。上述两种密码设定方式,就是一种以一随处可见的单字或东西,作为密码设定的原则。
最后一种不用花大脑的密码设定方式就是,以生活中最日常生活中最常使用的物品或者是最喜欢的运动等,作为密码设定的原则,因此,在美国地区出现football或baseball的密码,不仅符合美国民众国情,使用者在设定这些密码时,甚至完全不用花大脑做设定。
网站密码设定原则是一种商业考量而非技术考量
我们当然知道,如果可以设定越复杂的密码,使用者的账号相对越安全。但是,就网站管理人员而言,密码设定到底要多复杂,其实是一种商业考量而非技术考量,除了这样的密码设定原则已经是业界通则、大家都可以接受的情况下例外。
以目前一般网站的密码设定都至少要8个字元以上,上限设定多以30个字元为限。对网站管理人员而言,30个字元长度的密码往往会比只有8个字元长度的密码不容易被解,也相对安全,而一般人对于密码长度的记忆,最长不超过15个字元。
如果,网站管理员为了确保使用者账户安全,而强迫大家设定30个字元长度的密码时,最终可能的后果就是,使用者因为密码太长、永远记不住,每次都要重新设密码好麻烦,干脆不要来算了,最终就陆续离开该网站。当网站使用人数越来越少时,对网站可以带来的商业价值就越低,因此,密码设定原则有些时候反而是一种商业考量而非技术考量。
要怎么设定好的、安全的密码,多数人应该都有概念,除了基本长度要8个字元以上,许多资安专家则建议最好可以设定15个字元长度外,其他则包含英文字母大小写以及1个以上的阿拉伯数字,有些网站也会要求加入一个特殊符号或者是可以允许空白键设定,借此增加密码设定的复杂度而用来作为网站密码设定原则。另外也要注意,要限制错误密码输入的次数,减少骇客暴力破解的可能性。
双因素认证机制提高网站登入的安全性
“所有资安技术最大的弱点都是人”,除了要遵守上述这些繁复的密码设定原则外,更重要的是,使用者要有足够的资安意识,才可能真正做到“不共用密码”、 “不使用重复密码”以及“定期变更密码”等安全密码准则,这样的密码设定才会真的是比较安全的密码。
许多人可能和我一样,用来用去的习惯密码就是那几个,好不容易习惯使用A密码,背起来B密码,备用C密码,笔记本上抄了另外一组D密码作为备用密码的备用。但是,现在每天使用要登入的网站服务,早就超过平常使用的密码组数。
不同网站使用相同密码的风险在于,一旦某一个网站的账号密码外泄,骇客就可以利用这些账号密码在其他网站尝试登入,假若使用者在不同网站仍使用和被骇网站相同的账号和密码时,骇客就可以利用这种资讯拼图的手法,掌握使用者在不同网站的相关资讯,甚至可以进行各种诈骗服务。
所以,有些人学会利用第三方工具协助确保网站密码的安全性,像是,除了使用浏览器“记住密码”的功能外,也有一些人会使用一些密码管理服务,帮助使用者记住不同网站复杂的登入密码,除了少数网站服务外,这些密码管理服务机制可以代登入不同的网站,而使用者只需要记住一个安全的密码管理服务的登入密码即可。
遗憾的是,这样的密码管理服务本身也具有一些资安风险,像是很受欢迎专门管理各种使用者密码的LastPass,在2015年6月时,就曾经发现遭到骇客入侵;今年1月中旬,也有资安研究人员发现,LastPass存在一个可跨站伪造登出讯息的Lgout CSRF(Cross-Ste Rquest Frgery)漏洞。这表示,当使用者浏览一个具有XSS(跨站攻击)漏洞的恶意网站时,只要侦测到网络使用者有使用LastPass服务,就会利用这个Lgout CSRF漏洞,发出一个伪造的登出讯息,要求使用者重新登入;而这个重新登入的网页,其实就是一个和真实LastPass一模一样的钓鱼网站。当骇客有这个密码管理服务的主要登入密码后,就掌握使用者所有的 登入密码了。
为了提高密码的安全性,现在有越来越多的网络服务业者提供双因素认证(Two-Factor Authentication),一个是输入你所知道的(Somethong You Know)自行设定的账号和密码,一个就是输入你所拥有的(Something You Have)的第三方装置所提供的验证机制;而在早期,这个第三方验证机制通常是一种会因为时间(Time-Based)或次数(Event-Based),提供不同变动数字的权杖(Token)装置,但随着各种行动装置的普及,以个人手机的简讯代码作为第三方认证的装置更为常见;使用者私人的电子邮件的认证连结,则是另外一种常见的第三方验证机制。
对使用者而言,要确保使用者使用网络服务的安全性,就必须要确保使用者账号和密码的安全性,除了密码设定符合基本的密码复杂度外,也可以在系统中,透过资安稽核的机制,强迫使用者定期检视密码的安全性与强度。不过,在实务操作上,双因素认证是一种相对安全的密码认证机制,也有越来越多网络服务业者以双因素认证确保使用者账户密码的安全性,对于担心网站账号密码安全性的业者而言,这是一种可以提供的服务,也是一种使用者确认该网络服务业者是否在意使用者账号密码安全的特征。
本周(1/24~1/30)重要资安事件回顾:
※ 美国推出数位注册服务,帮民众验证官方社交账号真伪以防诈骗
※ 当心! BlackEnergy木马程式出现Word新包装
※ VirusTotal线上扫毒服务现在可以侦测固件恶意程式
※ 张善政接任过渡内阁阁揆,与新政府打造交接典范,强调资安无缝接轨
※ 联想SHAREit遭爆有多个漏洞,甚至采用12345678固定密码
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09