Formspring、Billabong、Nvidia和雅虎都傳出了大規模的密碼外洩事件,許多使用者的用戶名稱和密碼都被放到網路上。雅虎被入侵事件影響了45萬名使用者,另外還有39萬名是在Nvidia外洩的。
大約在一個月前,我們首先談到了不安全的密碼和關於密碼的基本問題。隨著最近發生的事件,許多使用者可能需要被再次提醒關於密碼的問題以及如何保護它們。
你的密碼能通過測試嗎?
密碼安全該做和不該做的事
- 不要使用常見字或連續數字所建立起的短密碼
- 不要在不同平台使用相同的密碼
- 要定期變更你的密碼
常見問題
LinkedIn、eHarmony、last.fm、英雄聯盟(LOL)和雅虎,這些網站有何共同點?這些網站都曾經是嚴重的資料外洩受害者,讓數百萬的用戶名稱和密碼被公布在網路上。這些事件告訴我們,大多數網路使用者還在使用不安全的密碼,有太多短密碼(像1234)。還有使用者會用很容易被猜中的密碼。雅虎受駭事件可以看出,這45萬被外洩的用戶名稱和密碼主要都是連續數字(如12345)或用單字當密碼。
不幸的是,這不會是最後一次看到資料竊取攻擊。只要網路犯罪分子可以從偷來的資料中獲利,他們就會不斷地嘗試破解使用者的帳號。一旦發生這種情況,你對你的密碼強度有信心嗎?你的密碼是否有機會對抗這些潛在的攻擊者?
為何我要保護好密碼?
密碼這玩意就跟人類的歷史一樣古老。還記得阿里巴巴和四十大盜的名句「芝麻開門!」嗎?如果你熟悉這故事,你就知道為什麼強盜要用密碼來保護他們的寶藏了。
這就是我們現代密碼的功能。它是我們網路生活的鑰匙。密碼保護我們的身份和敏感資料(像是網路銀行身分認證和信用卡資料等)。這些資料對於我們來說就像是四十大盜的寶藏一樣。而就跟現實生活裡一樣,也有現代的小偷或網路犯罪份子會想去得到你寶貴的資料。一旦他們成功了,任何人都有可能成為網路犯罪分子的受害者,像是身份竊盜,甚或是在某些情況下會造成實際的金錢損失。
想想當你選錯密碼時可能會發生的事情:
- 每三秒就有重要資料被竊取。
- 有810萬的美國成年人淪為身份詐騙的受害者。
- 每年信用卡詐騙會耗費持有者和信用卡發卡單位高達5億美元的成本。
密碼如何被盜?
- 暴力破解攻擊。網路犯罪分子有系統地結合字母、數字和符號來嘗試破解你的密碼。攻擊者通常會從字典裡的單字開始。他們也會將之前破解來的密碼加到可能的組合列表裡。每次成功的入侵都會增加他們資料庫內可能的密碼組合。
- 社交工程陷阱( Social Engineering)攻擊。網路犯罪分子會利用流行的新聞、名牌、名人或世界級的事件來誘騙使用者給出自己的密碼。他們也可能利用假比賽、促銷或獎品來當誘餌。我們目前看到一些值得注意的威脅包括利用即將到來的2012年倫敦奧運會的垃圾郵件,利用iPhone 4S當幌子的偽eBay網頁,還有假裝要提供受矚目的電腦遊戲 – 暗黑破壞神三下載連結的惡意網站。
- 鍵盤側錄等資料竊取惡意軟體,包括惡名昭彰的ZeuS/ZBOT惡意軟體,它可以記錄鍵盤活動,竊取個人身份資料(PII),特別是金融相關資料。另一個值得注意的惡意軟體是TSPY_GAMETHI.QJB,會竊取某些網路遊戲的登錄憑證。
- 網路釣魚(Phishing)郵件/網頁。使用者收到偽裝成銀行、信用卡公司或其他知名組織的電子郵件。這些郵件要使用者點入一個連結來更新他們的帳戶。而按下按鈕後會將他們導到一個偽裝成正常網站的釣魚網站。沒有察覺的使用者可能會被騙將他們的帳戶資料提供給這些網站
- 資料入侵外洩。網路犯罪份子或某些團體可能會入侵公司網路,竊取重要的資料如客戶資料、商業機密等等。著名的組織像是Sony、SK通信和雅虎都曾在過去淪為資料外洩資料外洩的受害者。
我該在密碼裡使用單字嗎?
最好避免可以在字典裡找到的常用單字、有名的名字或是流行品牌。網路犯罪分子可以很容易地就透過暴力破解法來找出使用常用字詞的密碼。重點是使用難以破解的字詞或句子。你的密碼包含許多無意義的詞更好。如果你使用「IloveTwilightverymuch」為密碼,你可能已經將你的密碼交給駭客了。
我該如何建立安全的密碼?
有許多不同的方法來建立安全的密碼。一種是建立你可以記住的句子。將它牢牢記住。你想要的話,可以很有創意,只要能夠牢記住它。
例如:「Queen and The Beatles are my favorite bands of all time according to a random survey(根據一項隨機調查,皇后和披頭四是我在任何時候都最喜歡的樂團)」。
使用句子並不是百分百的安全。下一步是取用每個字的字首。你現在有了「QATBAMFBOATATARS」。現在這是你的密碼基礎了。將它想成一塊黏土,你可以利用它來做出任何你想要的密碼。
接下來,你要混合大小寫、數字和特殊字元。有些網站可能會限制特殊字元,所以你必須相應地調整你的密碼。但只要網站允許使用特殊字符,就用它們。而且最好不要使用連續的號碼,像是1234或98765。
將以上考慮進去,我們可以將把 QATBAMFBOATATARS變成Q@TB@mfB0@T@Tr$。
你現在有了一個安全的密碼。
我可以建立一個短密碼嗎?
不行。以前的規則是建立至少8個字元的密碼,雖然專家們建議最好要有14個。只要你想,你可以設得越長越好。但是有些網站有字數的限制。只要你遵循網站的字數上限就不是問題。但是,密碼的強度並不完全由它的長度決定。
我該在每個網路帳號都用同一個密碼嗎?
不行。這樣一來,你建立安全密碼的努力就白費了。一旦網路犯罪份子入侵你其中一個帳號,就可以用來破解你的其他帳號。只有當你使用不同的密碼時,這才不會是個問題。
我應該將我的名字或個人資料加到密碼裡嗎?
不行。避免將敏感資料(像是社會安全號碼或姓名)加入密碼。但是你可以使用像是狗的名字、難忘的旅行地點或任何隨機而不重要的資訊。只要確認你是唯一知道這資訊的人。(編按:小編建議如果你常在社交網站透漏這些訊息,那就不要用這些)
我該定期更改密碼嗎?
是的。將它養成習慣,定期變更密碼以防駭客猜中。
我的密碼很難記。可以把它們寫下來嗎?
不行,將你的密碼記在筆記本或紙上容易弄丟或被偷,這會讓你的網路帳號馬上陷入危險。更何況你還得想辦法去找出跟重置密碼。
最好的辦法是使用密碼管理軟體,像是趨勢科技的DirectPass密碼管理 e 指通(可免費下載試用),可以將你的密碼加密儲存在安全的位置。同時可以透過雲端來同步你的裝置,讓你無論在哪個地方都可以進行安全的交易。
一旦駭客拿到我的密碼,會發生什麼事?
有許多事情是駭客可以做的,下面列出幾項:
- 將你的電子郵件地址加入他們的垃圾郵件(SPAM)列表。犯罪犯罪分子現在可以將垃圾郵件塞滿你的信箱,讓你更容易成為其他攻擊的受害者。
- 利用你的密碼進行未經授權的交易。他們現在可以未經你的同意就轉帳或購買東西。
- 使用你的身份。網路犯罪分子可以使用你的身份來向執法單位掩蓋他們的踪跡。
- 在地下市場兜售你的身份。網路犯罪分子可以將你的資料賣給其他犯罪團體,讓他們在其他攻擊計畫裡使用你的資料。例如,根據一個地下市場的研究,你寶貴的登錄憑證可以在地下市場賣到一至五美金。想想看,如果壞人每天拿到超過幾百個帳號!
來總結我們學到了什麼,這裡是你在建立密碼前需要考慮的事情。
密碼檢查清單
- 使用不常見的單字
- 使用特殊字元和數字(非連續)
- 使用至少14個字元
- 在每個網路帳號使用不同的密碼
- 定期變更新密碼
- 使用密碼管理工具來記住密碼,即刻免費下載試用趨勢科技的DirectPass密碼管理 e 指通
@原文出處: Test Your Passwords: More Passwords Leaked
Will Your Passwords Pass the Test?
@延伸閱讀
“電子郵件帳號被入侵,還好裡面沒重要的東西?! “事實上,裡面是大有東西在。
從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?
關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件,看六種密碼被竊的手法(上)
我複製、貼上密碼,他在幕後接收!-從Hotmail 密碼外洩事件,看六種密碼被竊的手法(下)
【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~】 ◎ 免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻【按這裡下載】
@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文