以蘋果Apple ID密碼設定的原則為例,至少要8個字母以上,要包含英文大小寫以及1個以上的阿拉伯數字。
不知道大家是否有跟我一樣類似的經驗,有一個幾乎每天都會都入的網站,某一天,網站系統要求你基於安全考量,必須要變更你原本已經很習慣使用的舊密碼,當下,想了一個很有原則、自以為一定會記住的密碼後,但是,在下次登入網站時卻發現,輸入的卻還是原本已經習慣輸入的密碼,先前新變更的密碼卻是怎麼樣都想不起來,幾次的輸入失敗後,只好默默的按下網站上「忘記密碼」的按鈕,重新設定「新」密碼。
但是,在重設密碼的過程中,或許有很多使用者會感到麻煩,覺得只是單純設定一個密碼而已,為什麼還要有那麼多規定呢?以設定蘋果Apple ID的密碼設定原則為例,至少要8個字母,要包含英文大寫和小寫字母在內,也必須包含一個數字,這也是多數網站在設定密碼的普遍要求。
爛密碼設定原則:簡單、隨處可見、不用花大腦
「對駭客而言,沒有破解不了的密碼,只有要花多少時間破解的密碼而已。」早期許多人的密碼設定相對簡單時,好記不容易忘掉是最主要的設定方式,也因此,有一些駭客甚至有一個完整的使用者資料庫,包含某個帳號使用的不同密碼,或者是透過字典式的暴力破解方式,就可以在幾天之內,破解某個網站使用者的密碼,進而控管使用者的帳號。
但是,現在使用者每天要登入或使用的網站服務越來越多,每一個網站甚至都包含許多重要的個人資料在內,如果駭客可以掌握使用者的帳號和密碼,每個使用者資料形同袒蕩蕩地對駭客們公開。
因為好的密碼管理就是一種對於個資的基本保護,使用者更應該要避免使用容易被破解的爛密碼,確保帳號的安全性。以日前密碼管理程式供應商SplashData公佈的2015年最爛的10個密碼為例,依序排名是123456、password、12345678、qwerty、12345、123456789、football、1234、1234567及baseball,其中123456和password更是過去從2011年~2015年最爛密碼排名前二名。
觀察上面爛密碼的共通特色,就是「簡單」、「隨處可見」加上「不用花大腦」,像是設定連續數字的密碼設定,往往都是滿足該網站密碼設定的基本字數限制,如果早期網站設定密碼至少要6個字母,有些人在設定密碼時,就是設定越簡單越好,依序設定阿拉伯數字為密碼,長度則以符合網站對密碼長度的限定,這樣的密碼設定使用者絕對不會忘記。
若是設定密碼為password,對於以英文為母語的民眾而言,設定密碼時,使用者就可以照著網站設定密碼欄目上的「Password」,照本宣科輸入password作為密碼即可,;另外若是按照鍵盤字母的排列設定「qwerty」為密碼,也是一種看著鍵盤輸入密碼的方式。上述兩種密碼設定方式,就是一種以一隨處可見的單字或東西,作為密碼設定的原則。
最後一種不用花大腦的密碼設定方式就是,以生活中最日常生活中最常使用的物品或者是最喜歡的運動等,作為密碼設定的原則,因此,在美國地區出現football或baseball的密碼,不僅符合美國民眾國情,使用者在設定這些密碼時,甚至完全不用花大腦做設定。
網站密碼設定原則是一種商業考量而非技術考量
我們當然知道,如果可以設定越複雜的密碼,使用者的帳號相對越安全。但是,就網站管理人員而言,密碼設定到底要多複雜,其實是一種商業考量而非技術考量,除了這樣的密碼設定原則已經是業界通則、大家都可以接受的情況下例外。
以目前一般網站的密碼設定都至少要8個字元以上,上限設定多以30個字元為限。對網站管理人員而言,30個字元長度的密碼往往會比只有8個字元長度的密碼不容易被解,也相對安全,而一般人對於密碼長度的記憶,最長不超過15個字元。
如果,網站管理員為了確保使用者帳戶安全,而強迫大家設定30個字元長度的密碼時,最終可能的後果就是,使用者因為密碼太長、永遠記不住,每次都要重新設密碼好麻煩,乾脆不要來算了,最終就陸續離開該網站。當網站使用人數越來越少時,對網站可以帶來的商業價值就越低,因此,密碼設定原則有些時候反而是一種商業考量而非技術考量。
要怎麼設定好的、安全的密碼,多數人應該都有概念,除了基本長度要8個字元以上,許多資安專家則建議最好可以設定15個字元長度外,其他則包含英文字母大小寫以及1個以上的阿拉伯數字,有些網站也會要求加入一個特殊符號或者是可以允許空白鍵設定,藉此增加密碼設定的複雜度而用來作為網站密碼設定原則。另外也要注意,要限制錯誤密碼輸入的次數,減少駭客暴力破解的可能性。
雙因素認證機制提高網站登入的安全性
「所有資安技術最大的弱點都是人」,除了要遵守上述這些繁複的密碼設定原則外,更重要的是,使用者要有足夠的資安意識,才可能真正做到「不共用密碼」、 「不使用重複密碼」以及「定期變更密碼」等安全密碼準則,這樣的密碼設定才會真的是比較安全的密碼。
許多人可能和我一樣,用來用去的習慣密碼就是那幾個,好不容易習慣使用A密碼,背起來B密碼,備用C密碼,筆記本上抄了另外一組D密碼作為備用密碼的備用。但是,現在每天使用要登入的網站服務,早就超過平常使用的密碼組數。
不同網站使用相同密碼的風險在於,一旦某一個網站的帳號密碼外洩,駭客就可以利用這些帳號密碼在其他網站嘗試登入,假若使用者在不同網站仍使用和被駭網站相同的帳號和密碼時,駭客就可以利用這種資訊拼圖的手法,掌握使用者在不同網站的相關資訊,甚至可以進行各種詐騙服務。
所以,有些人學會利用第三方工具協助確保網站密碼的安全性,像是,除了使用瀏覽器「記住密碼」的功能外,也有一些人會使用一些密碼管理服務,幫助使用者記住不同網站複雜的登入密碼,除了少數網站服務外,這些密碼管理服務機制可以代登入不同的網站,而使用者只需要記住一個安全的密碼管理服務的登入密碼即可。
遺憾的是,這樣的密碼管理服務本身也具有一些資安風險,像是很受歡迎專門管理各種使用者密碼的LastPass,在2015年6月時,就曾經發現遭到駭客入侵;今年1月中旬,也有資安研究人員發現,LastPass存在一個可跨站偽造登出訊息的Lgout CSRF(Cross-Ste Rquest Frgery)漏洞。這表示,當使用者瀏覽一個具有XSS(跨站攻擊)漏洞的惡意網站時,只要偵測到網路使用者有使用LastPass服務,就會利用這個Lgout CSRF漏洞,發出一個偽造的登出訊息,要求使用者重新登入;而這個重新登入的網頁,其實就是一個和真實LastPass一模一樣的釣魚網站。當駭客有這個密碼管理服務的主要登入密碼後,就掌握使用者所有的 登入密碼了。
為了提高密碼的安全性,現在有越來越多的網路服務業者提供雙因素認證(Two-Factor Authentication),一個是輸入你所知道的(Somethong You Know)自行設定的帳號和密碼,一個就是輸入你所擁有的(Something You Have)的第三方裝置所提供的驗證機制;而在早期,這個第三方驗證機制通常是一種會因為時間(Time-Based)或次數(Event-Based),提供不同變動數字的權杖(Token)裝置,但隨著各種行動裝置的普及,以個人手機的簡訊代碼作為第三方認證的裝置更為常見;使用者私人的電子郵件的認證連結,則是另外一種常見的第三方驗證機制。
對使用者而言,要確保使用者使用網路服務的安全性,就必須要確保使用者帳號和密碼的安全性,除了密碼設定符合基本的密碼複雜度外,也可以在系統中,透過資安稽核的機制,強迫使用者定期檢視密碼的安全性與強度。不過,在實務操作上,雙因素認證是一種相對安全的密碼認證機制,也有越來越多網路服務業者以雙因素認證確保使用者帳戶密碼的安全性,對於擔心網站帳號密碼安全性的業者而言,這是一種可以提供的服務,也是一種使用者確認該網路服務業者是否在意使用者帳號密碼安全的特徵。
本週(1/24~1/30)重要資安事件回顧:
※ 美國推出數位註冊服務,幫民眾驗證官方社交帳號真偽以防詐騙
※ 當心! BlackEnergy木馬程式出現Word新包裝
※ VirusTotal線上掃毒服務現在可以偵測韌體惡意程式
※ 張善政接任過渡內閣閣揆,與新政府打造交接典範,強調資安無縫接軌
※ 聯想SHAREit遭爆有多個漏洞,甚至採用12345678固定密碼
熱門新聞
2024-04-17
2024-04-17
2024-04-18
2024-04-15
2024-04-15
2024-04-15