跳到主要內容區塊
內頁主視覺
:::
臉書分享 line分享 推特分享 微博分享 複製網址

強化資安第一步-從密碼安全性開始

        在資安防護上最容易被忽視也最容易上手的就是密碼以及帳戶登入上的問題,根據14日行政院國家資通安全會報所公布的資安訊息中就指出,去年發生多起密碼安全性不足導致系統遭破解資料被駭事件,因此針對密碼安全性問題,對各個機關加強資安措施;另外近期面對資安議題嚴陣以待的還有證券商,自從去年11月底發生大型券商遭駭客攻擊盜用客戶帳戶複委託港股的投資詐騙後,駭客就不斷針對證券商進行攻擊,面對這波駭客的攻擊台灣證券交易所也在今年年初緊急開會,並要求國內證券商通知所有客戶必須修改密碼來預防駭客的攻擊。接著我們就針對行政院及證券商在資安預防上所採取的措施來介紹強化密碼如何做到資安強化的第一步!

如何提升密碼安全性

        介紹前我們先來做一個密碼的安全性檢測,看看你是不是資安破口之一,你的密碼中是不是含有身份證資料、生日、電話這種個資呢?還是你的密碼是有規則順序性,像:123456789這種簡單易被猜中的規則呢?如果是的話那你很有可能就是資安破口之一!因為在政府14日公告的資安月報中指出,去年因密碼安全性不足而造成系統遭破解事件屢次發生,所以為了不讓密碼成為資安破口,政府在密碼防護上採三點防護措施,以下就讓我們參考政府的作法來強化密碼的安全性!

  • 強化密碼規則,採政府組態基準(GCB)密碼原則
    • 密碼長度要8碼以上
    • 限定密碼有效期限,定期更換密碼
    • 加強密碼複雜度,密碼應包含英文大寫、小寫、特殊符號或數字三種
  • 採多因子驗證機制,如:
    • 簡訊驗證
    • Google Authenticator驗證器
    • Microsoft Authenticator驗證器
  • 帳號多次登入錯誤即鎖定帳號機制,並通報系統管理員

加強密碼安全性對系統有什麼幫助?

        在看完以上三點措施後,你是不是對密碼安全性提升的做法比較了解呢?但是這些措施要怎麼防範駭客攻擊,以下讓我們透過駭客常見的攻擊手法來對密碼強化如何做到資安保護做更深入探討。

  1. 暴力破解:駭客會使用最基本暴力破解工具來排列出密碼的所有可能性,這時你就需要強化密碼複雜度以及帳號登入鎖定機制來防範,假如系統沒有限定登入錯誤鎖定機制,密碼又設定很簡單,駭客就可以輕易利用這項暴力破解工具破解密碼進入系統。
  2. 社交工程-網路釣魚 :駭客會利用社交工程的方式來騙取你的個人資訊,常見的方式就是網路釣魚,駭客會利用電子郵件誘騙使用者登入偽裝網站以騙取帳號及通行碼,如果密碼不慎遭駭客取走時,這時還可以透過多因子驗證機制來驗證登入者的身份,駭客就算取得密碼沒有驗證碼駭客也無法進入到系統中。
  3. 密碼心理學 :多數人會為了方便記憶而使用自己的個人資料當密碼,像是生日、手機號碼以及身分證等,但這些資料在社群媒體發達時代很輕易的就可以搜尋到,像是前陣子接種疫苗完,不少人會將小黃卡上傳到社群媒體上跟大家分享,但你有注意小黃卡上身分證及生日會將個資洩漏出去嗎,如果這時你的密碼又是使用這些個資訊息,就很容易被駭客拿去做應用!

        因此在這邊要呼籲大家千萬不要忽視密碼安全性問題,想提升資訊安全最好入手的方法就是先從密碼保護做起第一層的把關,所以請務必定期更新密碼、強化密碼複雜度以及採多因子驗證機制,不要讓密碼成為資安破口唷!

回到上方