3大密码流言破解!混合字符、频繁更换无助于密码的安全性
▲民众对于「安全密码」的概念可能是错误的。(图/取自免费图库Pixabay)
总是为忘记自己设的密码而感到困扰吗?据专家说法,遗忘密码仅是密码相关问题的冰山一角而已,而事实上,人们也高估了网站保护密码的能力。
FIDO联盟(Fast IDentity Online Alliance)成立于2017年,旨在帮助世界减少对密码的依赖。联盟执行董事希奇亚(Andrew Shikiar)指出,将多个复杂的密码记住是个「巨大的挑战」,「这种困难使人们倾向使用容易记住及重复使用的密码,从而加剧了密码的风险。」
UX研究与咨询公司尼尔森诺曼集团(Nielsen Norman Group)分析师布迪尔(Raluca Budiu)对此也表示赞同。她认为,从用户体验的角度来说,「密码最大的问题是人们必须记住密码。」她指出,当今的网站对密码设定有着「不同的、相对复杂的」要求,「提供易于记忆的有意义的密码越来越难。」
即便对那些拥有超强密码记忆力的人来说,安全问题仍然存在。希奇亚表示,密码是「人类可读的共享机密,通常被存在中央伺服器中,因此很容易被盗用及重复使用。」而且,窃盗密码可能以「无数种」方式发生。
新思科技(Synopsys)软体质量与安全部门(Software Integrity Group)高级安全策略师克努森(Jonathan Knudsen)认为,「人们高估了网站保护密码的能力,这就是为什么需要为每个网站设定不同密码的主要原因。」他说:「如果你各个网站重复使用相同的密码,一旦其中一个网站的保护性不佳,结果将是灾难性的。」
这些其实都已是各界针对密码一再呼吁的重点了,但事实上,根据LastPass释出的年度全球密码安全报告,针对4.7万个组织所做的数据分析显示,每个人平均将会重复使用同一组密码13次。
为解决这种问题,专家建议应完全摆脱「输入密码」这种验证形式,而是使用个人的智慧型手机、USB安全密钥及生物特征扫描(如指纹辨识)等方式来登入。举例来说,目前中国大陆已开始使用QR Code及脸部辨识来付款。不过希奇亚也提醒,上述方式仍需克服行为及设备的升级周期,「当人们开始意识到,在手机上被称作『解锁』的行为,现在也可以用来『登入』,即可真的摆脱对密码的依赖。」
▲生物辨识扫描被视为更安全的登入方式之一。(图/取自免费图库Pixabay)
1. 多因素验证(Multi-factor authentication, MFA)并非万无一失
克努森指出,骇客可透过SIM卡劫持技术来接管用户的手机号码,这意味着,当网站要求MFA时,若采用电话号码,则这一次性的密码将发送给骇客,而非帐户所有者。
2. 复杂的密码并没有那么安全
希奇亚指出,随便编个密码都比那些「123456」及「password」这种「最受欢迎的密码」来得好,但「所有密码都可能被盗」。
此外,人们认为用数字或符号代替字母来创造更复杂的密码,能有效防范那些有心人士,克努森举例:「你可能会认为『secret』是个很弱的密码,而『s3cr3t』则难猜很多,但事实上骇客有很多方法能破解这样的密码。」
3. 频繁地更改密码无助于密码的安全性
一些公司员工可能会对每3个月或6个月寄送一次的「可怕邮件」有些了解,即那些提醒员工密码即将过期,要求他们更新密码的通知信。不过根据希奇亚的说法:「事实证明,强制人们频繁地更改密码或混合使用特殊字符将使人们更容易忘记密码,也更容易遭骇。」