每年 5 月的第一個星期四是“世界密碼日”,全球領先的專業網絡安全解決方案提供商 Check Point 軟件技術有限公司借此機會提醒大家應特別注意密碼使用,因為密碼仍是防止網絡犯罪分子入侵的主要屏障之一。
全球有數十億用戶每天都在不同設備上使用密碼,雖然密碼的重要性不容小覷,但糟糕的密碼管理和創建做法比比皆是。2019 年,英國國家網絡安全中心透露,全球仍有 2,300 萬人在使用諸如“123456”之類的不安全密碼,這表明還有許多用戶沒有意識到潛在的危險。
但我們面臨的問題不止如此。持續的技術進步不僅讓用戶大受裨益,也為網絡犯罪分子提供了新工具來實施攻擊。曾經被認為安全的密碼現已成為過去式,并會產生新的漏洞。
如同加密貨幣挖礦使用場景,帶有虛擬內存 (VRAM) 的新型顯卡支持硬件設備高效處理高速數據,因此這些新型顯卡也可被用于類似暴力破解密碼的不法行為。最新型號的顯卡能夠在短短一秒內執行上百萬次查驗,遠快于以前的中央處理器 (CPU)。這意味著,如果我們設置一個只包含字母和數字的長度少于 12 個字符的密碼,攻擊者只需幾天就能破解。
Hive Systems 的最新報告揭示了網絡犯罪分子“破解”我們的密碼所需的大致時間:最不安全的密碼幾乎可以秒破,而最強大的密鑰則需要 438 萬億年。在短短一年的時間里,這些密碼的破解所用時間縮短了高達 90%。隨著云服務或人工智能等新手段的出現,未來幾年,這一用時可能還會進一步縮短。
設置強密碼的目的和原因顯而易見,但如何創建安全而強大的密碼呢?對此,Check Point 安全專家公司給出了幾條建議:
1、越長越復雜,安全性越高:密碼長度應至少為 14-16 個字符,且應同時包含大小寫字母、符號和數字。有人指出,只要將密碼長度增加到 18 個字符,就可以創建一個攻不可破的密鑰。這種說法是基于暴力破解攻擊所需嘗試的次數提出的,其中組合總數等于字符數乘以密碼長度。
2、易記難猜:密碼組合應該僅為用戶所知,所以建議不要使用個人詳細信息,例如紀念日或生日的日期,或家庭成員的名字,因為這類密碼更容易被猜出。創建易記密碼的一個簡單方法是使用完整的句子,可以使用常見或荒謬的場景,例如“meryhadalittlelamb”或者大意相同但部分字符不同的更安全形式,例如“#M3ryHad@L1ttleL4m8”。
3、獨特且不可重復:每次訪問服務時都創建一個新的密碼,并避免在不同的平臺和應用中使用相同的密碼。一旦密碼被破解,這可確保把損失降到最低,并有助于更輕松、快速地修復。根據 Google 的一項調查,至少 65% 的受訪者在多個帳戶和 Web 服務中重復使用其密碼,這大大增加了多個平臺或應用遭到攻擊的幾率。
4、不外泄密碼:看似基本常識,但絕對值得重視。切勿與任何人分享密碼,尤其不要在電腦附近寫下密碼,也不要把密碼存儲在電腦文件中。就密碼保存而言,密碼管理器等工具能夠以更安全的方式為您代勞。
5、實現真正安全只有“兩步”之遙:除設置強大而安全的密碼以外,使用雙重身份驗證 (2FA) 也是一項主要的安全增強措施。這樣,每當攻擊者或未授權人員想要訪問他人的帳戶時,帳戶所有者就會在其手機上收到通知,以決定是否允許或拒絕訪問。
6、定期更改密碼:有時,即使遵循了上述所有做法,也會發生我們無法掌控的事件,例如公司數據庫泄漏。因此,建議定期檢查電子郵箱是否已遭到第三方漏洞攻擊,并嘗試找出可能已被入侵的帳戶。一些公開可用的工具可提供相關幫助,例如 Have I Been Pwned 網站,該網站會試著收集有關這些泄露的基本信息,以便為用戶提供支持和幫助。同樣地,即使沒有遭到入侵,也建議每幾個月更新一次密碼。
Check Point公司中國區技術總監王躍霖表示:“每天,網絡犯罪分子都會發動新的攻擊以竊取用戶密碼,網絡釣魚等技術通過竊取憑證成功入侵了數千項服務。因此,我們建議用戶通過創建更安全的密碼來加大網絡犯罪分子猜測密碼的難度,同時確保用戶的始終處于最高級別的安全防護中,從而輕松化解可能存在的網絡風險。”
