沒有「不重要」的帳戶
今時今日實在太多事情要網上處理,牽涉個人私隱資料的亦越來頻煩,當中更包括極敏感個人資料例如財務、稅務、健康資訊甚至個人證件等,引申出的登入帳戶數以百計,管理帳戶及密碼已經成為生活的一部份,有效率及安全的管理成為現代人須知,但太多人卻不以為意。知名的VPN服務商Nordpass較早前公佈全球最常見最不安全密碼,「123456」蟬聯冠軍,使用次數超過一億。鍵盤上一些相鄰的字符及其組合例如qwerty、qwerty123、1q2w3e等皆榜上有名。這些密碼組合不用1秒便可破解,毫無安全性可言。看完這堆密碼怕且讀者會失笑,但竟然仍有大量人使用,證明太多人對資訊安全萬不經意。不要以為一個只收取旅遊資訊的帳戶可用一個簡單的密碼,洩漏無傷大雅,實情是不法之徒志不在你帳戶上的資料,而是在你已建立信任的資料上騙取你更多資訊。例如你對某地旅遊資訊有興趣而登記了一個網站,忽然有一天你收到一個看似是該網站發出的連結,上面正正就是你有興趣的資料,你極可能不以為意而按下連結,若你没有安裝防毒軟件,騙徒便得手。
破解密碼有「字典」
Nordpass的清單固然有趣,但值得關注的是背後的研究基礎及引申的結果。為何Nordpass有巨量資料可作分析?這裏牽涉網站如何儲存密碼,問題極之複雜且絕大多數人沒有留意。高安全級別的網站根本不會儲存任何密碼,沒有任何資料可以洩漏。當網站將新舊密碼儲存,若儲存不當或出現安全漏洞,密碼就有外洩的風險。以往出現外洩屢見不鮮,名單包括大型電郵、信用卡、支付平台等。一些非主流網站投入資訊安全的資源較少,容易出現安全漏洞,更不排除一些信譽較差的網站甚至出售資料。再有就是企業「內鬼」擁有足夠權限的直接讀取資料。19年就有報道指Facebook以純文字儲存密碼於內部伺服器,部份員工可讀。當密碼不斷外洩,形成大數據,分析這些大數據得出各種慣用密碼的名單,或密碼組成的演化方式,例如利用字典上的字後加數字組合,又簡單符號或數字轉換,帳號名稱加符號等,就可製成黑客字典(Hackers Dictionary),最終演化成破解密碼的常用工具。有了GPU的超級電腦及雲端運算,今天一個八位字母及數字組合的密碼,利用「暴力方式」(即嘗試所有組合)破解並不困難,高速運算加上黑客字典令破解密碼工具與虎添翼。極權國家控制一切資訊,對密碼組合可作深入分析,甚至可將密碼與個人其他資訊聯繫找出特性,威脅不容忽視。
建立清單將風險分類
面對上述威脅,用家就必須管理好帳戶及密碼。首先是建立一個所有帳戶及密碼的清單。筆者早前就花了不少精力整理出一張清單,帳戶數以百計,筆者亦感到驚訝。在製作清單期間必須注意資訊安全,儘量縮短製作時間及將資料儲存在加密硬碟中,且要備份。仔細檢視清單上的每個帳戶,並以高中低風險分類,在可能的情況下刪去個人資料,同時刪除不必要的帳戶。高風險的帳戶例如電郵或雲端儲存等,你一定要了解服務提供者處理密碼的政策,若有選擇,應選Zero Knowledge的服務提供者,即密碼就是解密鎖匙,提供者沒有儲存之餘亦無法解密任何儲存的資料。帳戶的名稱不應有識別資料,讓不法之徒可推論帳戶名稱或從帳戶名稱推測用家身份。高風險帳戶的密碼應最少是12個位,由大小字母數字及符號組合而成。任何移動裝置應使用密碼而避免使用PIN或圖案。「反送中」時已有報道被捕人士的iPhone使用PlN碼被警方破解。不論高中低風險帳戶,任何密碼皆不能重複使用,因為當你有一個帳戶密碼失竊,竊取者有可能已收集了你其他的帳戶資料,並針對性利用失竊密碼嘗試登入。現時大部份金融相關電郵社交網站等均提供雙重認證,應馬上啟用,並利用不同裝置獲取雙重認證編碼。若有選擇,應選用按時改變的認證編碼,避免使用電郵或SMS。使用瀏覽器登入任何帳戶前請確保連線是以https加密。應避免使用任何公眾連線登入任何帳戶。帳戶使用完畢應立即登出,避免留著登入段落而增加帳戶外洩風險。
管理帳戶及密碼已成為現代人的新痛點。有否一些工具可以協助管理帳戶及密碼?答案是有,但必須小心選擇及適當使用,下回續談。◇
------------------
💎成為會員 📧訂閱電子報
https://hk.epochtimes.com/subscribe
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand