世界密碼日由8年前開始定於每年的5月第一個星期四舉辦,目標是鼓勵人們使用更強力和獨特的密碼,事隔多年,IT專業人士看到有行業內技術火速發展,然而弱密碼組合這個問題仍然持續。
2020全球最常見密碼
於去年11月,每外傳媒發佈了全球最常見密碼的頭3位,分別是:
- 1234546
- 123456789
- picture1
即使不是IT專家也知道這種密碼組合非常薄弱。去年網絡攻擊急增400%,根據Acronis Cyber Protection Week Global Report,無論是普通用戶或IT專家,很多人在去年都曾洩露個人、生意和客戶資料到網絡犯罪份子手上。同一時間,大部份用戶和IT專業人士都自稱他們的密碼強力和可靠,可以用作保護他們的資料。但持續上升的數據遺失、弱密碼的流行和漏洞的網絡保安,都令人對於自稱密碼強力和可靠產生質疑。
安全的密碼防護
除了密碼組合有足夠的強度,其實還要考慮重複使用相同密碼的問題,還有利用多重認證技術進一步強化密碼防護的效能,以下是Acronis的專家提出的意見。
1. 不要重複使用密碼
除了建立不會容易被猜到的密碼,以及太短容易被暴力破解的密碼之外,更重要是用戶自己不要重複使用相同密碼,如果在不同的服務使用相同密碼,當一個服務資料外洩時,攻擊者就可以透過這些資料去嘗試用在其他服務,而事實上這方法十分有效,容易引致「火燒連環船」。
2. 使用密碼管理員
每個人日常生活都有很多不同的密碼需要記住,這亦是導致有很多人重複使用密碼的原因。但是透過密碼管理員這種工具協助,用戶只需要記住一條密碼,就能管理所有帳號的不同密碼,避免上述發生連鎖災難的情況。
3. 多重認證、生物識別、U2F和密碼管理
多重認證(Multi-factor authentication, MFA)很快速成為了強力密碼防護的標準,通過加入第二條重登入步驟,通常是發送到手機的短訊、保安問題或由身份驗證應用程式提供的Token等形式進行。很多MFA的額外一層密碼不需要用戶記住任何東西,提高了易用程度和效能的保安考量。
MFA並非萬能的密碼強化方案,最重要的還是用戶的心態。定期的密碼管理相當重要,複雜和獨一無二的密碼並不一定需要完全更改整條密碼,移除不再需要的帳號能減低資料被盜的風險。U2F鑰匙則是連接電腦的實體裝置,生物識別能增加個人憑證的複雜性。然而,最重要還是用戶接受使用更強力密碼防護的態度。
資料來源:Acronis blog