LastPass 也險告失守 密碼保安時代快將終結?

LastPass 最近成為黑客目標,密碼保安的可靠性似乎笈笈可危。現在連 iPhone 也有 TouchID 了,生物辨識技術也許不再是商務系統、門禁系統的專利,一般人用指紋登入各種網上服務的日子是否快將來臨?不過保安專家不是這樣想。關心密碼保安的讀者入來看看。

如果這星期有留意 Unwire.pro 報導,應記得密碼管理服務 LastPass 遭到黑客攻擊而力保不失的新聞。事實上有關密碼外洩的新聞從未少過,這是否代表用密碼做保安措施的方式已經失效?其實坊間一直有研究新科技取代密碼,也有研究想改善現行密碼保安方式的不足,今次就專題探討一下密碼保安的未來。

 

蠢密碼、懶密碼非常普遍

文字密碼已是使用多年的保安登入方式,基本上只要是現代都市人都一定有使用密碼系統的經驗。密碼本質既要不讓他人知悉,但又同時需要易於記憶以方便使用者,兩者之間本就有衝突,若果服務供應者保安要求不夠嚴謹(嗯,我說的是換飛行哩數那些),又或是系統限制只能使用數字(電話熱線),允許使用者使用簡單易記的密碼的話,就往往衍生更多的保安問題。

大多數人都是惰性的,結果就出現不少用戶名稱就是密碼、短至四個字元的密碼,又或是密碼是 Password 這八個字母的情況,更有甚的是使用預設的密碼(也即是全世界都知道的密碼),完全沒打算更改過。

這並非誇張的故事。Trustwave 保安研究人員就發現,美國有多達九成零售商戶從未更改、並一直使用 POS 系統的預設密碼,有一家更是自 1990 年起就從未更改過預設密碼長達 25 年之久。只要黑客掌握了預設密碼,幾乎能對全部 POS 系統肆意妄為。

至於消費市場一樣誇張,據資訊保安廠商 SplashData 連續第四年公佈的最差密碼名單,2014 年仍以「123456」連任為最常見密碼的第一名,而「password」亦蟬聯第二名。而其他最差密碼亦往往是由簡單易記的數字或英文單字,原因也是源於使用者不想背記複雜密碼。據 YouGov 的研究指出,多達 53% 美國人在 2013 年完全無更換過密碼,保安問題很多人都未有正視。

 

安全提示一樣是漏洞

為阻止使用者採用「蠢密碼」,有些網站管理員會要求用戶的密碼長度,至少含 6 個字元並包含大小寫英文字母、數字、符號等,有些對系統保安要求較高的,更強制不能與用戶名稱、個人資料重覆,以避免被入侵者猜出。不過很多人為想減少背記複雜密碼,結果又變成是「一套複雜密碼通行各大網站」,一旦其中一個服務外洩密碼就會「火燒連環船」。

為避免這種情況,有些服務會要求用戶隔一段時期就必須更改密碼,也不可跟用過的密碼重覆,從而減少因為外洩而讓他人入侵的機會。但這又導致用戶經常忘記密碼,雖借助「忘記密碼」功能來取回密碼。但問題又再次出現,因為安全提示問題沒有經常更改,也可能每個網站都用相同問題和答案,結果依然是回到老問題上。

而且據電子邊疆基金會和 Google 一項研究指,有些安全提示的預設問題太常見和太直覺,某些族群的帳號使用者的安全提示答案大多相同,黑客非常容易猜中,在六次內就猜中的機會高達 17%。而「你最喜歡的超級英雄是誰?」一類問題,答案更往往只得數個,出事機率自然高。

而這類安全提示問題一般比較貼身,如果是家人、朋友,猜中的機會不會低,例如「最喜歡食物」就屬此類。因此有些較聰明的會乾脆一開始就填上假答案,約有 37% 網民在安全提示問題欄填入了假答案,以增加破解帳號的困難度,但如果連自己都忘掉正確答案就麻煩了。

 

LastPass 雖未失守,但未必不會

這也是為何會有 LastPass 這種密碼管理網站的出現。LastPass 能隨機生成完全不同、連使用者自己也記不著的密碼,透過讓 LastPass 記錄和自動輸入功能,使用者根本不用背記複雜密碼也能得到保護,只需記著一個主要的主密碼登入 LastPass 就能通行於不同平台。

但這其實又回到「安全提示」一樣的問題,就是「把所有雞蛋都放在同一個籃」。不過 LastPass 就比較好一點,因黑客還得先破解 LastPass 後才能知道所有隱藏的密碼,但仍不損「同一個籃」面對的全輸風險。LastPass 上周發現有黑客嘗試入侵,雖然 LastPass 強調黑客未有成功得手,但亦已提醒用戶最好修改一下主密碼,而未採用多重因素認證的用戶均必須透過電郵進行帳號驗證。

雖說 LastPass 未有失手(信住先啦),但其實已為密碼保安敲了警鐘。事實上不說 LastPass 的加密技術有沒攻破,畢竟「世上沒有攻不破的系統、只有沒有攻破價值的系統」,如果 LastPass 或其他一眾密碼管理服務有攻破價值,出事其實只是時間問題。

 

中強度和高強度密碼其實沒有分別

但就算你的密碼再長、再複雜,但如果碰上有心對付你的黑客,可能關鍵的就不是密碼本身。現在有所謂「暴力攻擊法」,透過使用強大運算伺服器不斷沒腦地嘗試不同密碼,最終試出你的密碼。遇上這種手法的話,前面提到的蠢密碼只需幾秒就能破解,複雜密碼也可能只需幾十小時。

Microsoft 早前的報告就指出,若黑客採用在線模式發動攻擊,依然會受到網站登入次數與其它保安機制所限;但若黑客使用離線攻擊 – 先竊取服務的密碼檔再進行破解,中強度與高強度密碼的分別只為破解時間由數小時增至數十小時而已,密碼最終都會被黑客成為破解。因此中強度和高強度密碼,其實沒有什麼分別。

除了暴力破解法,現在還有更難提防的釣魚攻擊。如果黑客事前已在目標電腦插入鍵盤側錄惡意程式,或採用偽冒網站和釣魚電郵偷取密碼,或以社交工程騙取信任再偷取密碼,那致命關鍵就不是密碼有多複雜,或是網站有否加密,而是「人」本身了。

 

生物辨別技術走入消費市場

其實過去多年一直有廠商在開發,以生物特徵來認證的生物辨別技術(Biometrics)保安系統,技術由大家熟識的指紋、臉容和語音,到掌紋、虹膜、視網膜、靜脈等更難模擬的生物特徵,都有人在開發相關的保安系統。生物辨別技術準確度高、難以盜取,因此很常見於國防或高規格保安的保安系統,甚至連下一代香港智能身份證都計劃加入有關技術。

先撇開有否私隱問題不論,生物辨別技術再準確也好,最大的難點是太過昂貴,難以在消費級層面應用。現在能看到的多為門禁系統或商務系統,你很難想像用指紋來登入 Gmail,因不是人人家中都會有一部指紋辨別裝置。因此當 iPhone 率先採用 TouchID 的指紋技術時,才會被視為生物辨別技術普及化的重要契機。

其實近年也有廠商開始為裝置加入生物辨別功能,其中又以日系廠商最為積極,例如 Unwire.pro 就曾報導過 Fujitsu LIFEBOOK 首次把 PalmSecure 生物辨識技術帶到海外市場,此技術透過紅外線感應器,以手掌靜脈建立用戶獨特的資料庫達到防盜功能。只要編寫合適程序,把有關技術用於網上系統的登入絕對可能,據消息指 Apple Pay 便已在考慮用 TouchID 來認證身份。

 

顏文字登入未必就會安全

密碼保安行之有效多年,但隨著黑客攻擊手法進步,的確存在更大的風險,隨著 iPhone 也加入生物辨別技術,那是否代表這種登入方式的時代快將來臨,密碼登入方式將會被淘汰?Unwire.pro 訪問了香港專業資訊保安協會會長范健文,范表示並非不可能,但不論是何種技術都有可能被破解,因此關鍵並非使用哪種技術,而是有否多重保障。

早前就有外國報導指有英國廠商研究使用顏文字(Emoji)來做網上銀行的登入密碼,認為顏文字比數字來得多,組合自然更多,更難以撞破。其實早已有廠商開發使用虛擬鍵盤、圖片等方式登入的方法,顏文字其實並不新鮮,范健文認為就算提高了破解難度,只要不是採用多重因素認證,要出事時還是阻止不了。

他以 LastPass 及其他密碼管理服務為例,指出會使用這些服務的人本身也應該關心保安問題,應該採用多重因素認證來保障自己。多重因素認證(Multi-Factor Authentication, MFA)是現在多家服務商如 Google 也採用的,現時網上銀行會用認證裝置(Token)便屬此類,使登入認證除密碼增加其他辨認身份的方式,解決因為密碼外洩就會全盤輸清的問題。

 

多重因素認證才是關鍵

Google 早年已推出兩步認證(2-Step Verification),採用兩步認證用戶當要登入時,系統會用短訊發送一次性認證碼到已登記的手機號碼,需要兩者均正確才能登入。今年 Google 更支援 Security Key,只要在登入時插上 USB 埠後就會驗證用戶身份,而且支援 FIDO U2F 認證,只要支援 FIDO U2F 的網站及服務均可透過 Security Key 以認證用戶身份。

換言之,即使你使用的網站或服務並未提供二重認證(畢竟發送 SMS 是很高成本的),只要網站支援 FIDO U2F 其實也能得到保障。而 LastPass 也提供多重認證,因此就算你害怕因為 LastPass 而全盤輸清,只要有多重認證功能也比自己記一堆難記密碼、但缺乏二重認證的情況來得安全。

范健文表示已有很多例子證明,採用多重因素認證會更加安全,因能偷你密碼的黑客未必能同時偷到你的手機,多一重保護就是多一個保障,這跟前面用的是哪種技術的辨別是沒有關係的。他就提到就算是 TouchID 也會因為系統的問題而失效,也許辨識技術很準確,但如果是系統本身出錯的話也是沒用的。

 

數據分析登入者是否使用者本人

我們經常說密碼管理是個人責任,但絕大多數的資訊保安廠商都不會認同,網上服務商把管理責任推給使用者的行為(以去年 Sony Pictures 被駭為例,就是 Sony 自己的錯)。畢竟決定一個平台是否採用多重因素認證的,絕對是服務供應者本身,而不是一介消費者。其實除了生物辨別技術,已有廠商研發利用收集用戶使用習慣、行為模式的數據,來判斷登入的人是否用戶本人的技術。

以 Google 為例,若黑客偷取了密碼而在其他地方登入你的 Gmail,就會顯示你的 IP 跟你慣常出現的地點有出入,若果 IP 是俄羅斯、南美這些黑客高危地區就更小心,而真正使用者亦會收到提示,Google 將查詢有關登入是否正確,從而減少誤判機會。

就像今天偽冒簽名會有筆跡專家驗證一樣,也許未來登入系統也有「筆跡」。美國喬治亞理工學亦正在研究,可以透過對用戶的打字速度及按鍵壓力進行識別,從而分辨用戶是否其帳戶持有人本人的技術。即使黑客成功竊取密碼非法存取,也得同時知悉該用戶的輸入風格與習慣才成,這無疑更有效阻擋非法存取。

 

總結:

雖然本文無法立下結論,密碼保安是否快會被生物辨別技術取代,但絕對可以肯定的是,多重因素登入將更快成為未來的標準措施。其實香港政府早已推出電子證書,但奈何應用機會太少,反而像 Google Security Key 或能因為商業優勢而跑出。

目前多家廠商都希望自己能夠主導「安全登入」該採用哪種技術為主流,因此各有各做的情況其實很常見。樂觀當然是百花齊放,悲觀就是戰國時代也許得維持一段時間,為消費者帶來麻煩。但不管如何,廠商正視有關問題仍是值得欣喜的。

題外話,如果 Unwire.pro 讀者對多重因素認證有興趣,可以看一下 Unwire.pro 之前做過的教學。設定二重認證,其實唔難。