密碼強度有多重要?好萊塢女星遭駭客鎖定,破解密碼竊取私密照
日前傳出駭客利用蘋果手機iCloud雲端功能儲存空間漏洞,導致好萊塢上百位A咖影星、歌手和超模裸照外流。消息指出,駭客鎖定特定明星的使用者帳號、密碼等資訊,透過「尋找我的 iPhone (Find My iPhone)」功能,使用「窮舉法」無限次測試密碼,直到成功破解。密碼一經破解,雲端上的資訊便唾手可得。
大部分的雲端服務及系統都會加上安全機制,在幾次密碼錯誤後就會將帳號鎖住。但是資安外洩事件還是一再發生,因為防猜機制僅能治標,假如密碼強度不足,仍可能被駭客輕易突破。
企業與用戶應該如何自保?中華數位科技表示最基本的原則:使用者應定期更換密碼,且密碼要維持足夠的強度。
統計發現,常見的弱密碼:1qazxsw2、temp1234、p@ssword中,這些看似符合使用定義,也被系統認定符合密碼強度原則,但卻是易被猜中的弱密碼之一。主要原因如下:
1. 僅依賴密碼的長度卻不考慮密碼設置的慣性,並不能拖延駭客猜測密碼的時間,對於網路上的帳號密碼多半有猜測次數的保護機制,故駭客會優先使用弱密碼進行猜測。
2. 密碼的強健性原則檢測並不能完全杜絕弱密碼的產生,因為弱密碼是基於使用者易於記憶的習慣而生,即便都是8位數以上英數(甚至符號)混合的密碼,也很容易被駭客猜中。
3. ISO 27001的要求使用者需要定期變更密碼,但卻無法確保使用者變更的不是弱密碼,多數人覺得好記的幾組密碼換來換去,風險仍很高。
所以企業系統不僅僅要能防禦駭客猜測密碼,還要能偵測密碼強度的檢測機制,才能有效降低密碼被猜中的風險。中華數位科技SPAM SQR具備密碼強度檢測功能,不僅能符合ISO27001定時檢測密碼強度規定,同時具有自動通知和統計報表功能。提供企業防堵資安漏洞,有效降低駭客入侵企業的危機。詳情請洽中華數位科技02-25422526