資訊教室
密碼攻防戰 14
  • 友善列印版本

    09/2017

    於2016年,單是雅虎(Yahoo)一個網站就有超過五億帳戶密碼被盜個案。原來各種電腦及應用系統會把帳戶及密碼自動加密保存,用作核實登入者的身份。黑客只需偷取檔案,再用程式將所有密碼組合編成測試清單,然後逐一加密對照,就能破解密碼。如果其中一個用戶密碼被破解,黑客更會利用這帳戶繼續嘗試破解他的其他帳戶及密碼;所以我們建議用戶按不同帳戶的重要性分成一級、二級、三級,層層遞進,每組使用不同長度及強度密碼。就算某組密碼被盜,亦可減低對其他組別的影響。

    • 一級:不想公開,但可承受遺失風險,如一些免費網上服務
    • 二級:涉及工作或私隱,如電郵、系統平台、社交媒體等
    • 三級:涉及個人或公司重要業務及財務,如人力資源系統、網上銀行等

     

    防守重點 :

    1. 設定強密碼

    避免密碼落入黑客優先測試中,我們必須增加密碼的複雜性及長度,令黑客不能在有限時間內破解。

    • 長度: 八個字元以上
    • 複雜性:大、小階、數字及符號

    最常見的技巧是修改密碼短語:創造包含數字的英文短語,抽取每個單字的首個字元、數字,再按自訂規則取代某些文字為大階及符號。但密碼的複雜性及長度缺一不可,如沒有複雜性,長密碼如123456123456或monkeymonkey亦很容易被黑客破解。

    • 短語:Expert introduced passphrase password in year 2003
    • 密碼短語:eippiy03 -> e!Pp!y03

     

    你亦可使用密碼算式設定及記憶不同密碼:

    固定+變化(系統/服務/設備),以下是以自訂的規則設定高階密碼的例子:

    • 固定:e!Pp!y03
    • 變化1 :選取首兩字字母,設定第二個字母大階

    例子:社交媒體WeChat:wC

    • 變化2 在變化1 加入第三個字元,並以鍵盤左上角方向的符號取代

    例子(個人網上銀行):pOb -> pO%

    一級密碼:e!Pp!y03(字長8)

    二級密碼:e!Pp!y03wC(字長10)

    三級密碼:pO%e!Pp!y03(字長11)

     

    緊記在固定、變化及合成中設定比較獨有及個人的規則。例如字元規則可選用廣東話或普通話拼音;選用中文輸入法、鍵盤或數字鍵以筆劃涵蓋的字元。我們亦可把變化部分插入在固定的不同位置。

     

    2.  密碼儲存及認證的重要提示

    不少用戶自行儲存密碼在伺服器裏的檔案上而不作加密。黑客透過已入侵帳戶,便可隨意尋找及開啟檔案。故此密碼檔案必須加密(請參考本欄2015年9月號文章)並作離線儲存。大家亦可選用由值得信賴公司開發的密碼管理應用程式,為不同系統帳戶建立及儲存強密碼,並選用強密碼啟動程式。除密碼外,亦建議使用多重認證,如指紋、短訊及電郵等等。為了保障自己及相關機構,請緊記以下要點:

    • 使用帶有複雜性的長密碼
    • 按資訊重要性把密碼分成不同層階
    • 使用密碼算式產生及記憶不同密碼
    • 密碼檔案必需加密,離線儲存在安全環境
    • 可選用合適的密碼管理程式
    • 可行下使用最少包含密碼的雙重認證

     

    若需更詳盡資訊,可聯絡IT Helpdesk 18888。

    分享文章