再思網絡保安︰密碼與身份認證

大型網站帳戶資料被黑客盜用的新聞時有所聞,早前 Dropbox 公布於 2012 年有多達6,800 萬筆用戶登入資料外洩,4 年後事件揭發方通知用戶更新密碼。LinkedIn 早前亦大量外洩用戶帳號數據庫,連 Facebook 創辦人 Mark Zuckerberg 和 Twitter CEO Jack Dorsey 的登入密碼也被揪出,可見 IT 專才也不可對網上保安掉以輕心。

大型網站帳戶資料被黑客盜用的新聞時有所聞,早前 Dropbox 公布於 2012 年有多達6,800 萬筆用戶登入資料外洩,4 年後事件揭發方通知用戶更新密碼。LinkedIn 早前亦大量外洩用戶帳號數據庫,連 Facebook 創辦人 Mark Zuckerberg 和 Twitter CEO Jack Dorsey 的登入密碼也被揪出,可見 IT 專才也不可對網上保安掉以輕心。

 

聰明地更換密碼

「定期更換密碼」是句耳熟能詳的口號,資訊保安專家一般建議用戶每 90 天便更改一次密碼。但即使是業內人士,往往都會嫌煩偷懶,或只是更改舊密碼的一兩個字就了事。這些有規律的變型密碼,面對黑客利用高效能電腦的運算,可以說是不堪一擊。

要避免密碼被破解,首先要知道黑客如何破解密碼。大部分人設定密碼都傾向使用一組字詞和數字的組合,例如「paul+生日日期」,好一點就是在其後再加上數字。但假如黑客已掌握你的帳戶資料和更改習慣,要破解這組密碼,只要 10 萬次內的電腦演算便可。

這樣,我們可以如何防範黑客的演算程式,有智慧地設定密碼?不妨參考以下建議︰

1. 不要使用「高危」密碼

不要使用生日日期、電話號碼、連續的數字或英文字母等「高危」密碼。最好有 12 個字以上,並包含數字、英文字母或符號的組合,增加密碼的複雜性。

2. 不要重複使用密碼

堅持在不同網站使用不同密碼,別讓「火燒連環船」,招至重大損失。

3. 小心揀選和回答提示密碼的保安問題

別選擇一些容易被推斷出答案的密碼提示問題。例如帳戶資料中有你的地址,就不要選擇「你中學就讀的學校是在哪一區?」這類問題。千萬不要聰明地設定了密碼,卻因簡單的保安問題答案而被攻破。

4. 自組密碼短語(passphrase)

以一句說話、喜歡的電影名或書名作為密碼的主要部份,因應不同網站於前後加入數字或英文字演變成不同密碼組合。例如喜歡喪屍電影的朋友,可把密碼設定為 Z0mbIeTr@in20!6。這個是筆者最常用的密碼設定方法,既易記又能提高被破解的難度。

 

為了保障用戶的個人資料,除了提醒他們定期更換密碼,不少企業都會建議用戶使用較長及複雜的密碼。例如「亞洲萬里通」的登入密碼便支援包含英文字母及數字(alphanumeric)的密碼格式,以及在會員更改會員資料及兌換名單時要求他們作出雙重認證 (second-factor authentication),輸入經電郵寄送的單次應用密碼,進一步加強會員帳戶的保安。

 

身份認證大趨勢

相對容易破解的傳統密碼認證方法,生物認證身份將會是帳戶保安的未來大方向。已被開發的生物認證技術包括指紋、心跳、瞳孔、耳道、面貌、語音,甚至是打字速度、身處位置、環境噪音和有否使用慣用的WiFi網絡等,已陸續投入市場。

若單一使用上述安全措施仍有不足,二重以至多重認證才是大勢所趨。除了密碼和生物認證外,USB 電子鑰匙之類的實體裝置亦為不少企業採用,只消插入電腦或手機便可登入帳戶,平衡了保安需求和方便程度。

網絡保安雖然是老生常談,但萬一不幸被黑客選中,損失可大可小。以公司角度來看,教育用戶增強帳戶安全,既可預防入侵,亦可建立客戶對公司的信任,實在值得投資。

 

作者:翁偉基

亞洲萬里通有限公司科技產品及策劃總監