2021 最常見的密碼出爐 -- 論密碼的安全性

NordPass 針對 2021 所做的最常見密碼調查出爐了!根據表單,以下的排名是台灣十大最常見的密碼。

我們可以看到在大部分的情況下,使用連續數字作為密碼是很常見的密碼形式,根據 ID Agent 的統計,有 81% 的資料外洩事件都是因為強度較弱的密碼所導致的,因此要求公司員工設定高強度的密碼並且避免低強度弱的密碼設定,即成為 IT 管理者的首要之務。如果帳號因為弱密碼而被盜用,無論 IT 管理者對伺服器採取再嚴密的保護措施,都無法防止駭客輕鬆進入伺服器。

增加密碼強度的小撇步

以下為各位介紹一些能夠維持密碼強度的小撇步

包含數字、大小寫、符號以及適當的長度

有種網路攻擊手法被稱為「暴力攻擊(Brute-Force Attack)」。這樣的攻擊手法會嘗試輸入所有可能的密碼組合以盜取正確的密碼。假設有一串 6 個字元的密碼,其中含有數字以及大小寫的英文字母(共 62 種不同的字元),該密碼則會有 56,800,235,584 種不同的組合。若密碼長度為 7 個字元,可能的密碼組合則為 3,521,614,606,208 種。就算只加了一個字元,也會在可能的組合種類上增加很大的影響。因此,使用多種不同種類的字元再搭配足夠的長度會讓密碼更加的強韌。

無意義化

另外有一種網路攻擊手法被稱為「字典攻擊(Dictionary Attack)」。這種攻擊手法是透過常用密碼字典來嘗試登入。通常這樣的常用密碼字典是根據以往曾被洩露的密碼資料所編輯而成的,這樣一來跟暴力攻擊手法比起來要猜到正確的密碼就相對快速許多。若將密碼設定為隨機且無意義的字元,使用者就能夠減少被字典攻擊盜取密碼的風險。

勿重複使用密碼並定期更新

若使用者在多個網頁上都使用同一組密碼,一旦駭客盜取了其中一個帳號,他便能透過同一組密碼登入其他軟體。為了將這樣的可能性最小化,不重複使用密碼是非常重要的一件事。另外,若我們考量密碼在不經意的情況下外洩的風險,定期地更新密碼會比較安全。就算有天密碼不小心外洩了,定期更新密碼能縮短駭客擁有有效密碼的期間。

HENNGE One 如何確保員工密碼的強度

HENNGE One Access Control(存取控制)是一個雲端解決方案,專為在使用 SaaS 的企業提供安全穩固的單一登入(Sings Sign-On,SSO)功能。當使用者透過 HENNGE One Access Control 登入 SaaS 軟體服務時,該使用者會被導到 HENNGE One 的登入頁面。一旦使用者獲得 HENNGE One 的驗證及授權,使用者便能透過 HENNGE One 的驗證資訊(credential)登入 SaaS 軟體服務。同時,使用者也可以透過同一份驗證資訊登入多個其他的 SaaS 服務。而也正因使用者只需要登入一次就能存取不同的服務,因此稱之為「單一登入」。

由於單一登入是利用驗證資訊來完成登入流程的,因此使用者不需要特地去設定以及去記多組不同的帳號密碼來登入不同的軟體服務。只用者只需要記得一組 HENNGE One 的帳號密碼就可以了。

另外,HENNGE One 也有提供管理密碼的功能。管理者可以設定密碼的設置必須達到一定的長度,也能規定密碼必須包含數字、大小寫以及符號。這樣一來,HENNGE One 就能大幅降低員工使用弱密碼的風險了。

密碼驗證的下一步

在 2020 年,新聞曾報導一起資安事件說明將近 2 億 3 千五百萬的 Instagram、TikTok 以及 Youtube 帳號被曝光在網路上。而根據 Security Boulevard 的文章,73% 的使用者會利用同一組密碼登入私人以及公事上的帳號。這意味著不論公司再怎麼加強密碼的管控,密碼還是有可能通過私人的消費平台被外流竊取,進而危害到公司的資訊安全。

預防這種情況的其中一個方式就是採用多重因素驗證(Multi-Factor Authentication,MFA)。MFA 通常會要求使用者不但得提供有效的帳密,同時也要擁有有效的裝置。HENNGE One 可以透過叫做 HENNGE Lock 的 APP 提供推播驗證以有效執行多重因素驗證。

另一個方法是透過裝置進行驗證。HENNGE One 可以在裝置上安裝「裝置憑證」,這樣的功能會在使用者登入系統時驗證該使用者是否持有有效的裝置憑證,以確保登入裝置的安全性。而由於駭客很難偽造相同的裝置憑證,相較於透過 ID/密碼的組合,是一種更安全的驗證方式。

若遇更深入的了解,歡迎參閱以下文章:

WRITTEN BY