於2016年,單是雅虎(Yahoo)一個網站就有超過五億帳戶密碼被盜個案。原來各種電腦及應用系統會把帳戶及密碼自動加密保存,用作核實登入者的身份。黑客只需偷取檔案,再用程式將所有密碼組合編成測試清單,然後逐一加密對照,就能破解密碼。如果其中一個用戶密碼被破解,黑客更會利用這帳戶繼續嘗試破解他的其他帳戶及密碼;所以我們建議用戶按不同帳戶的重要性分成一級、二級、三級,層層遞進,每組使用不同長度及強度密碼。就算某組密碼被盜,亦可減低對其他組別的影響。
- 一級:不想公開,但可承受遺失風險,如一些免費網上服務
- 二級:涉及工作或私隱,如電郵、系統平台、社交媒體等
- 三級:涉及個人或公司重要業務及財務,如人力資源系統、網上銀行等
防守重點 :
1. 設定強密碼
避免密碼落入黑客優先測試中,我們必須增加密碼的複雜性及長度,令黑客不能在有限時間內破解。
- 長度: 八個字元以上
- 複雜性:大、小階、數字及符號
最常見的技巧是修改密碼短語:創造包含數字的英文短語,抽取每個單字的首個字元、數字,再按自訂規則取代某些文字為大階及符號。但密碼的複雜性及長度缺一不可,如沒有複雜性,長密碼如123456123456或monkeymonkey亦很容易被黑客破解。
- 短語:Expert introduced passphrase password in year 2003
- 密碼短語:eippiy03 -> e!Pp!y03
你亦可使用密碼算式設定及記憶不同密碼:
固定+變化(系統/服務/設備),以下是以自訂的規則設定高階密碼的例子:
- 固定:e!Pp!y03
- 變化1 :選取首兩字字母,設定第二個字母大階
例子:社交媒體WeChat:wC
- 變化2 在變化1 加入第三個字元,並以鍵盤左上角方向的符號取代
例子(個人網上銀行):pOb -> pO%
一級密碼:e!Pp!y03(字長8)
二級密碼:e!Pp!y03wC(字長10)
三級密碼:pO%e!Pp!y03(字長11)
緊記在固定、變化及合成中設定比較獨有及個人的規則。例如字元規則可選用廣東話或普通話拼音;選用中文輸入法、鍵盤或數字鍵以筆劃涵蓋的字元。我們亦可把變化部分插入在固定的不同位置。
2. 密碼儲存及認證的重要提示
不少用戶自行儲存密碼在伺服器裏的檔案上而不作加密。黑客透過已入侵帳戶,便可隨意尋找及開啟檔案。故此密碼檔案必須加密(請參考本欄2015年9月號文章)並作離線儲存。大家亦可選用由值得信賴公司開發的密碼管理應用程式,為不同系統帳戶建立及儲存強密碼,並選用強密碼啟動程式。除密碼外,亦建議使用多重認證,如指紋、短訊及電郵等等。為了保障自己及相關機構,請緊記以下要點:
- 使用帶有複雜性的長密碼
- 按資訊重要性把密碼分成不同層階
- 使用密碼算式產生及記憶不同密碼
- 密碼檔案必需加密,離線儲存在安全環境
- 可選用合適的密碼管理程式
- 可行下使用最少包含密碼的雙重認證
若需更詳盡資訊,可聯絡IT Helpdesk 18888。