3大密碼流言破解!混合字符、頻繁更換無助於密碼的安全性
▲民衆對於「安全密碼」的概念可能是錯誤的。(圖/取自免費圖庫Pixabay)
總是爲忘記自己設的密碼而感到困擾嗎?據專家說法,遺忘密碼僅是密碼相關問題的冰山一角而已,而事實上,人們也高估了網站保護密碼的能力。
FIDO聯盟(Fast IDentity Online Alliance)成立於2017年,旨在幫助世界減少對密碼的依賴。聯盟執行董事希奇亞(Andrew Shikiar)指出,將多個複雜的密碼記住是個「巨大的挑戰」,「這種困難使人們傾向使用容易記住及重複使用的密碼,從而加劇了密碼的風險。」
UX研究與諮詢公司尼爾森諾曼集團(Nielsen Norman Group)分析師布迪爾(Raluca Budiu)對此也表示贊同。她認爲,從用戶體驗的角度來說,「密碼最大的問題是人們必須記住密碼。」她指出,當今的網站對密碼設定有着「不同的、相對複雜的」要求,「提供易於記憶的有意義的密碼越來越難。」
即便對那些擁有超強密碼記憶力的人來說,安全問題仍然存在。希奇亞表示,密碼是「人類可讀的共享機密,通常被存在中央伺服器中,因此很容易被盜用及重複使用。」而且,竊盜密碼可能以「無數種」方式發生。
新思科技(Synopsys)軟體質量與安全部門(Software Integrity Group)高級安全策略師克努森(Jonathan Knudsen)認爲,「人們高估了網站保護密碼的能力,這就是爲什麼需要爲每個網站設定不同密碼的主要原因。」他說:「如果你各個網站重複使用相同的密碼,一旦其中一個網站的保護性不佳,結果將是災難性的。」
這些其實都已是各界針對密碼一再呼籲的重點了,但事實上,根據LastPass釋出的年度全球密碼安全報告,針對4.7萬個組織所做的數據分析顯示,每個人平均將會重複使用同一組密碼13次。
爲解決這種問題,專家建議應完全擺脫「輸入密碼」這種驗證形式,而是使用個人的智慧型手機、USB安全密鑰及生物特徵掃描(如指紋辨識)等方式來登入。舉例來說,目前中國大陸已開始使用QR Code及臉部辨識來付款。不過希奇亞也提醒,上述方式仍需克服行爲及設備的升級週期,「當人們開始意識到,在手機上被稱作『解鎖』的行爲,現在也可以用來『登入』,即可真的擺脫對密碼的依賴。」
▲生物辨識掃描被視爲更安全的登入方式之一。(圖/取自免費圖庫Pixabay)
1. 多因素驗證(Multi-factor authentication, MFA)並非萬無一失
克努森指出,駭客可透過SIM卡劫持技術來接管用戶的手機號碼,這意味着,當網站要求MFA時,若採用電話號碼,則這一次性的密碼將發送給駭客,而非帳戶所有者。
2. 複雜的密碼並沒有那麼安全
希奇亞指出,隨便編個密碼都比那些「123456」及「password」這種「最受歡迎的密碼」來得好,但「所有密碼都可能被盜」。
此外,人們認爲用數字或符號代替字母來創造更復雜的密碼,能有效防範那些有心人士,克努森舉例:「你可能會認爲『secret』是個很弱的密碼,而『s3cr3t』則難猜很多,但事實上駭客有很多方法能破解這樣的密碼。」
3. 頻繁地更改密碼無助於密碼的安全性
一些公司員工可能會對每3個月或6個月寄送一次的「可怕郵件」有些瞭解,即那些提醒員工密碼即將過期,要求他們更新密碼的通知信。不過根據希奇亞的說法:「事實證明,強制人們頻繁地更改密碼或混合使用特殊字符將使人們更容易忘記密碼,也更容易遭駭。」