為何不能重複使用密碼?

日本某大型遊戲公司於2020年4月,公佈了在獨自的網路服務上,由於帳號清單攻擊約有16萬個的帳號因此遭非法登入(2020年6月為止共計約30萬個)。該公司不僅要求服務使用者要變更密碼,同時更呼籲在其他的服務上不要重複使用同一組密碼。

根據趨勢科技公司的調查,網路服務使用者約6成僅使用1~3組密碼於網路服務上,密碼重複使用的用戶超過全體的8成。同時,多數的回答者都是因為「用不同密碼太麻煩了」「密碼太多記不住」等理由而重複使用相同的密碼。

為何密碼不能重複使用?


刑事局曾破獲歹徒將生日電話等個資破解數百名Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。  許多使用者可能會在不同網站使用相同的密碼,甚至是相同的使用者名稱/密碼組合。如果這樣,那麼擁有你詳細資料的網路犯罪份子就可以侵入其他網路帳號,造成更多的傷害和經濟損失。總之別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全

犯罪者會利用這些隨處使用同一組帳號密碼的使用者心理,將到手的帳號密碼組合使用,嘗試登入各種服務。因此,若隨處使用相同的帳號密碼,其他各種服務也會遭到非法登入,受害的範圍將會擴大。

LINE台灣臉書官方帳號公布「7種最常被盜的登入密碼」,看看你中獎了嗎?

1.一組密碼走天下
2.生日
3.純數字
4.密碼太短
5.跟帳號一樣
6.常見單字
7.連續字母

取得他人的密碼有各式各樣的手法

網路釣魚


具代表性的就是釣魚詐騙。刑事局曾破獲歹徒將生日、電話等個資,破解數百名Yahoo!等網站用戶密碼趨勢科技建議使用者定期變更所有網路帳號的密碼。駭客善於利用竊來的帳號資料來進行所謂的網路釣魚(Phishing)攻擊,偽裝成Yahoo或其他公司來寄送電子郵件給目標。詳細的資料可以用來讓電子郵件看起來更真實。他們可能會要求受害者點入連結來確認帳號或是類似的手法。這樣做的目的是為了得到更多使用者的敏感資訊,通常跟財務有關。或甚至利用資料竊取惡意軟體來加以感染。

如果有使用雙因子身份認證(2FA)也不可掉以輕心。因為出現了被要求輸入在簡訊及專屬應用程式上取得的驗證碼(雙因素驗證資訊)的釣魚詐騙網站。

    另外,因服務業者的人為疏失及內部的不當行為、網路攻擊等原因導致使用者的帳號及密碼遭洩露的情況亦發生過。由於某些不知明原因流出的驗證資訊在網路上遭到非法買賣,或是被網路犯罪者公開的情況下,有可能落入惡意的第三方的手上,並遭各路的網路犯罪者所濫用。

參考:如何避免個資淪入黑暗網路(Dark Web)任人拍賣?什麼是黑暗網路(Dark Web)?跟深層網路(Deep Web)有何關係?

    刑事警察局165反詐騙諮詢專線曾接獲檢舉,指稱其Google電子郵件( Gmail )接獲疑似假冒以 Gmail 名義發送之釣魚信件,內容為已經成功攔阻帳號免遭到駭客入侵,並明確標明入侵時間、IP與地點」,要求郵件使用者點選信件下方【重設密碼】選項,實為竊取民眾帳號、密碼。由於近年Google服務跨越電子郵件、行動電話作業系統、行動軟體(Google Play)及電子錢包(Google Wallet)等領域,均由帳號、密碼控管,遂成駭客覬覦目標。

Google 官方網站說明:某些駭客會偽造「系統已阻止可疑的登入」電子郵件的內容,藉此竊取他人的帳戶資訊。目前沒有確切方法能確認這封郵件的來源,對於這點我們深感抱歉。收到下列電子郵件時,建議您提高警覺:要求提供個人資訊 (例如使用者名稱、密碼或其他身分識別資訊),或是將您導向必須提供個人資訊的網站。」

由於感染上惡意軟體(病毒等非法程式的總稱),驗證資訊遭竊取的情況亦是發生過。例如,可以將輸入的資訊或藉由簡訊所收到的密碼傳送至外部、或於正規的註冊頁面上被覆蓋上了假的頁面來竊取資訊、或藉由應用程式上所顯示的假通知誘導至非法網站的手法。

字典攻擊或暴力攻擊(Brute Force Attack)

   
網路犯罪者亦會透過字典攻擊或暴力攻擊(Brute Force Attack)來找出密碼。字典攻擊是一種於事前準備字典、常用人名等英文單字或密碼上常用的單字清單,然後對照特定的帳號逐一測試的方法。另一方面,暴力攻擊是根據程式從頭到尾逐一地嘗試將文字組合成密碼的手法。因此,如果將一般字典上記載的單字或成語、簡單的文字列設成密碼的話,帳號遭竊取的風險將大大提高。

    密碼管理通輕鬆為您保護並記憶管理各種複雜的網站帳號密碼,並可支援各種作業平台,讓您不僅能輕鬆管理密碼,並能在使用網路購物或網路銀行等服務時安心線上交易

防止帳號遭竊的手法是指?


防止帳號遭竊的重點在於,每個服務都要使用不同的帳號及密碼組合。如此一來,即便某個服務的帳號及密碼洩露了,也可以防止其他服務受到波及。同時,在各個服務上設定第三方難以推測的複雜密碼也是相當重要。請不要忘了將防毒軟體維持在最新狀態下

密碼管理通,讓你再多密碼都不會忘記

趨勢科技密碼管理通輕鬆為您保護並記憶管理各種複雜的網站帳號密碼,並可支援各種作業平台,讓您不僅能輕鬆管理密碼,並能在使用網路購物或網路銀行等服務時安心線上交易

特色1 只需一組超級密碼,超便利!

自動儲存你經常登入的網站帳號密碼,只要一組超級密碼,就能自動登入網站,無須每次手動輸入帳號密碼

※ 您的上網裝置必需連線至網際網路。部分網站不支援此功能。

特色2 瀏覽網路線上交易,超安心!

盜用個資詐騙的案例激增,密碼管理通不但能安全儲存與管理您的網站帳號密碼,還能在您使用網路銀行時,自動開啟高安全機制的專屬瀏覽器進行身分驗證,有別於一般瀏覽器更能防範駭客入侵竊取線上交易資料、阻絕威脅

特色3 輕鬆建立安全密碼,超簡單!

特別針對您所建立的密碼評估安全性,並可同時組合您喜歡的字母、數字、符號等,幫您建立好記又安全強度高的密碼

特色4 自動填寫個人表單,最貼心!

當您在購物網站購買商品時,「密碼管理通」能將您預先儲存的姓名、住址、電話號碼等個人資訊,自動帶入購物網頁的表單,方便您快速完成購買流程

※ 您的上網裝置必須連線至網際網路。部分網站不支援此功能

特色5 跨平台支援雲端同步,好管理!

可同時支援多種上網裝置,不限安裝台數。不論是透過電腦、平板或從任何智慧型手機※1都可輕鬆自動登入網站※2所有密碼存取都能自動同步

※1 有關支援的作業系統,請參閱系統需求
※2 您的上網裝置需連上網際網路

特色6 使用指紋安全登入,超方便

若您使用 iPhone/iPad 系列,亦可使用 Touch ID※1 以指紋辨識或是手動輸入超級密碼登入※2

※1 有關支援的作業系統,請參閱系統需求
※2 您的上網裝置需連上網際網路 

特色7 換電腦手機亦可用,免操心!

即便更換電腦、平板或智慧型手機※1,您只需要在新裝置上重新安裝「密碼管理通」程式,輸入您的超級密碼後即可使用※2※3

※1 有關支援的作業系統,請參閱系統需求
※2 不支援 Mozilla Firefox,若您使用 Google Chrome,請關閉瀏覽器
※3 請用您申請的趨勢科技帳號登入

趨勢科技密碼管理通,免費下載試用