密碼再長,仍為駭客肥羊
近來資安威脅事件頻傳,知名事件包括日本發生電腦病毒竊取網路銀行密碼的盜領事件;SONY PSN遭APT攻擊導致7,700萬筆個資外洩;最新事件為駭客突破雅虎安全網,竊取超過45萬用戶的個資(帳號名稱和密碼),並且已在P2P網路及檔案分享網站上流通。
企業個資遭竊及用戶帳密外洩事件一再發生,企業與用戶應該如何自保,以免成為駭客口中的肥羊?最基本的原則:使用者應定期更換密碼,且密碼要維持足夠的強度。然而,密碼長度並不等於密碼強度!
統計發現,常見的弱密碼:1qazxsw2、temp1234、p@ssword中,這些看似符合使用定義,也被系統認定符合密碼強度原則,但卻是易被猜中的弱密碼之一。主要原因如下:
- 密碼的長度並不能拖延駭客猜測密碼的時間,對於網路上的帳號密碼多半有猜測次數的保護機制,故駭客會優先使用弱密碼進行猜測。
- 密碼的強健性原則檢測並不能完全杜絕弱密碼的產生,因為弱密碼是基於使用者易於記憶的習慣而生,即便都是8位數以上英數(甚至符號)混合的密碼,也很容易被駭客猜中。
- ISO 27001的要求使用者需要定期變更密碼,但卻無法確保使用者變更的不是弱密碼,同樣幾組密碼換來換去,風險仍很高。
所以企業系統不僅僅要能防禦駭客猜測密碼,還要能偵測密碼強度的檢測機制,才能有效降低密碼被猜中的風險。中華數位科技SPAM SQR推出的密碼強度檢測功能,不僅能符合ISO27001定時檢測密碼強度規定,同時具有自動通知和統計報表功能。提供企業防堵資安漏洞,有效降低駭客入侵企業的危機。詳情請洽中華數位科技02-25422526