「世界密碼日」:思科提倡無密碼令未來的數碼世界更安全

在數碼世界,人們的生活被密碼圍繞,網上銀行、線上購物、數碼娛樂服務,統統需要密碼設定。為防黑客透過網絡釣魚和詐騙偷取用戶密碼,入侵帳戶,越來越多網絡服務需要更高級的密碼設定和密碼組合,並且需要定時更新,但這導致管理起來很煩瑣,用戶也很難把所有密碼都記住。思科 2021 年的調查就發現全球有 51%用戶每星期會忘記或需要重設密碼,另外有 57%為了避免自己忘記密碼,會在不同帳戶使用同一密碼。

5 月 5 日是今年的「世界密碼日」,提醒我們要設立適當保障,免受身份被盜的風險和招至損失。密碼設定存在被竊取和利用的風險,Verizon 數據指出密碼很容易被洩漏,有 81%的密碼洩漏源於較弱的密碼設定或憑據被盜。有見及此,思科建議使用多因素認證(Multi-Factor Authentication,MFA),這是阻止密碼被盜的最有效機制。

多因素認證更安全

「多因素認證」在登入過程中,要求來自至少兩個不同類別的媒介認證身份,過程簡單方便。首次註冊「多因素認證」,用戶只需跟從簡單步驟:第一重認證,透過指定裝置註冊;在第二重認證,註冊生物認證,如指紋認證。在下一次登入時,必須同時核實已註冊的裝置和生物認證,便能以「多因素認證」登入,既省卻了管理密碼的煩瑣,亦同時提高了安全保護。

其它的「多因素認證」方法包括,使用多因素認證的應用程式,其推送通知響起,用戶只須輕按智能手機,即可驗證身份;此外,若果以手機訊息、電子郵件或電話方式進行裝置與個人身分的認證,使用者會實時收到認證通知。

五招保帳戶免破解

「多因素認證」可將帳戶洩露的風險降低 99.9%,但這也不代表萬無一失,因為總會有些意圖攻擊者嘗試突破防禦,盜取密碼。思科建議使用者留意以下五大方法,抵禦攻擊:

  1. 使用更強的因素認證:將身份認證方法規限為只使用應用程式的推送通知、Touch ID 和/或安全密鑰(WebAuthn/U2F),有助大幅度減低一次性密碼(OTP)的攻擊面漏洞。
  2. 嚴格規管對存取裝置的信任:對存取資源的裝置狀態進行更嚴格的控制,有助限制或阻止來自非託管或未知裝置的存取,減少攻擊面。
  3. 選擇有提供風險檢測功能的供應商:用戶應該選擇能夠為每次安全事件提供深入解釋的技術供應商,讓管理員全面掌握事件前後的異樣,從而可以快速了解並修復風險。
  4. 用戶培訓:為用戶提供意識培訓,並通過模擬網絡釣魚攻擊來測試準備情況。
  5. 更新電郵安全工具:確保所有電郵網絡釣魚保護方案有效防止已知的攻擊方法,包括強大的 DNS(Domain Name System)域名系統記錄、 DMARC 驗證(Domain-based Message Authentication, Reporting & Conference)、動態反網絡釣魚過濾、DNS 白名單、國家/地區阻截以及各種其他內容和預防控制。

隨著網絡安全技術的更新與升級,密碼被竊將會成為過去,用戶也無須再擔心忘記密碼的問題。同時,大家也不再需要複雜的密碼設定與繁瑣的密碼管理。讓我們從今天開始就實踐無密碼認證,讓「多因素認證」加強數碼世界的安全保障。