於2016年，單是雅虎（Yahoo）一個網站就有超過五億帳戶密碼被盜個案。原來各種電腦及應用系統會把帳戶及密碼自動加密保存，用作核實登入者的身份。黑客只需偷取檔案，再用程式將所有密碼組合編成測試清單，然後逐一加密對照，就能破解密碼。如果其中一個用戶密碼被破解，黑客更會利用這帳戶繼續嘗試破解他的其他帳戶及密碼；所以我們建議用戶按不同帳戶的重要性分成一級、二級、三級，層層遞進，每組使用不同長度及強度密碼。就算某組密碼被盜，亦可減低對其他組別的影響。

• 一級：不想公開，但可承受遺失風險，如一些免費網上服務
• 二級：涉及工作或私隱，如電郵、系統平台、社交媒體等
• 三級：涉及個人或公司重要業務及財務，如人力資源系統、網上銀行等

防守重點 :

1. 設定強密碼

避免密碼落入黑客優先測試中，我們必須增加密碼的複雜性及長度，令黑客不能在有限時間內破解。

• 長度： 八個字元以上
• 複雜性：大、小階、數字及符號

最常見的技巧是修改密碼短語：創造包含數字的英文短語，抽取每個單字的首個字元、數字，再按自訂規則取代某些文字為大階及符號。但密碼的複雜性及長度缺一不可，如沒有複雜性，長密碼如123456123456或monkeymonkey亦很容易被黑客破解。

• 短語：Expert introduced passphrase password in year 2003
• 密碼短語：eippiy03 -> e!Pp!y03

你亦可使用密碼算式設定及記憶不同密碼：

固定+變化（系統/服務/設備），以下是以自訂的規則設定高階密碼的例子：

• 固定：e!Pp!y03
• 變化1 ：選取首兩字字母，設定第二個字母大階

例子：社交媒體WeChat：wC

• 變化2 在變化1 加入第三個字元，並以鍵盤左上角方向的符號取代

例子（個人網上銀行）：pOb -> pO%

一級密碼：e!Pp!y03（字長8）

二級密碼：e!Pp!y03wC（字長10）

三級密碼：pO%e!Pp!y03（字長11）

緊記在固定、變化及合成中設定比較獨有及個人的規則。例如字元規則可選用廣東話或普通話拼音；選用中文輸入法、鍵盤或數字鍵以筆劃涵蓋的字元。我們亦可把變化部分插入在固定的不同位置。

2.  密碼儲存及認證的重要提示

不少用戶自行儲存密碼在伺服器裏的檔案上而不作加密。黑客透過已入侵帳戶，便可隨意尋找及開啟檔案。故此密碼檔案必須加密（請參考本欄2015年9月號文章）並作離線儲存。大家亦可選用由值得信賴公司開發的密碼管理應用程式，為不同系統帳戶建立及儲存強密碼，並選用強密碼啟動程式。除密碼外，亦建議使用多重認證，如指紋、短訊及電郵等等。為了保障自己及相關機構，請緊記以下要點：

• 使用帶有複雜性的長密碼
• 按資訊重要性把密碼分成不同層階
• 使用密碼算式產生及記憶不同密碼
• 密碼檔案必需加密，離線儲存在安全環境
• 可選用合適的密碼管理程式
• 可行下使用最少包含密碼的雙重認證

若需更詳盡資訊，可聯絡IT Helpdesk 18888。