訂/退閱

首頁 / 資訊專欄 / 文章

網路世界的資安基本功-帳戶及密碼管理

2021-12-09 資訊專欄

在這網路發達的時代,作為網際網路的用戶之一,存取網路資源,對於現代的子民已是再普遍不過的事,而在的網路大部分系統上,多以「帳戶」作為使用身分表示,如微軟的 Windows 作業系統近期已整合微軟帳戶登入以使用個人電腦、 Google 帳戶來使用 Gmail、協同作業等服務、論壇或 Youtube 發表及留言等功能,都必須有該系統的帳戶及密碼。擁有帳戶,等同擁有一身分的使用權。

現今已多有法律規範於網路上包含文字、圖像、影音等表達與作為之限制,如帳戶使用權遭到盜用,輕則個人資料外洩,數位錢包、信用卡資料遭到盜刷;重則有心人士利用個人帳戶身分行非法之事,可能擔負違法之連帶責任,故須特別重視個人帳戶與密碼的管理。


 

什麼是帳密(帳號密碼)?

 

在網路世界裡,要識別(Identification)個人的存在,通常必須以「帳戶」為單位表示於系統中的存在,擁有一個帳戶必須先註冊該系統的帳號(Account)及密碼(Password),以作為登入系統之驗證(Authentication)。部分系統會以「帳號」作為帳戶名稱(Username)以識別一身分,在系統中顯示的名字可能為帳戶名稱或者帳號。

 

密碼的意義

 

密碼(Password),顧名思義是「通行(Pass)的字元(Word)」,作為登入驗證是否為該帳號之擁有者使用。通常帳號或者帳戶名稱顯示於系統網頁上供系統用戶檢視,若密碼設定過於簡易、規律或者使用常用字串,容易遭有心人士猜出或者破解,冒用身分行事。

 

上圖為台灣人使用「我的密碼」注音拼音相對的英數字位置作為密碼。

 

有哪些密碼破解法?

 

有心人士為了竊取資料、冒用權力等行為,會嘗試透過某些方式進行密碼的破解,以下是五個常見的破解密碼方法:

1.簡單口令

大多使用者為了使用方便、好記的密碼,常會設定為簡單口令的用語作為密碼,例如:MyPassword、上方示意圖中的 ji32k7au4a83 等。有心人士可能以這些常用用語嘗試登入帳戶。

2.字典攻擊法

將簡單口令、常用用語、生日數字組合或者字典中單詞的每種可能,寫入程序以腳本的方式再嘗試登入帳戶。

3.暴力破解法

在確定密碼設定範圍後,從最短到最長、可用字元符號如數字、英文、指定特殊符號等,以電腦的運算將所有密碼可能性計算出結果並嘗試登入。

4.鍵盤側錄

在使用者不知情、無感覺的情況下,透過木馬程式等病毒植入使用者主機,以記錄使用者在鍵盤輸入的一切字元,從而推算可能是密碼組合以竊取使用。

5.網路釣魚

透過假冒特定服務之網站、信件、簡訊等方式,欺騙使用者輸入或傳送密碼到仿冒者中,從而騙取密碼使用。

 

如何判斷釣魚信件?

延伸閱讀:訂單郵件詐騙分析資安說明

 

如何制定密碼規則

 

經上述種種密碼破解法的說明,我們大致可以了解到,密碼常因過於簡單、常用,導致即使電腦並未中毒,卻還是遭到帳戶盜用的原因之一,那麼應該如何制定密碼?

1.避免簡單常見、可取得的字詞

這是大家最清楚卻又最容易忽視的問題,多以英文名字、生日或手機號碼等組合,作為密碼的命名,無須技術僅需取得相關資料即有可能猜出使用者密碼。

2.穿插可用的特殊符號

現已有多系統允許密碼可用部分特殊符號作為密碼使用,除大小寫英文、數字之外,可盡量多用特殊符號增加組合的可能性,增加密碼困難度。

3.替代文字表示

這是西方人常用的方式,將英文字母替代為類似的數字表達,如:「A」→「4」、「E」→「3」、「L」→「1」、「O」→「0」、「S」→「5」、「b」→「6」、「B」→「8」、「g」→「9」、「Z」→「2」等穿插使用。

4.英數字交錯使用

如:原密碼為「Apple12345」,則可調整為「App123le45」或者「A1p2p3l4e5」等方式,目的在避免單詞完整呈現遭字典攻擊法破解。

5.定期更換密碼

搭配以上幾種方式,定期更換密碼,養成好的更換習慣,可避免因不慎遺失被他人取得後,能有時效性的防止盜用。

 

其他防止密碼遭盜用方法

 

除了將有規則的制定密碼之外,還有一些其他防止密碼遭盜用的方法,如下幾點:

1.啟用兩階段驗證 ( 2-FA,Two-Factor Authentication )

除了使用密碼進行驗證之外,設定寄送手機簡訊或者電子郵件之時效驗證碼,以驗證是手機號碼持有者或者信箱擁有者方能登入的方法,目前大部分系統已支援兩階段驗證。

2.避免電腦中毒

盡量不使用盜版軟體、不下載網友自行開發之程式,應以官方軟體為主使用。

3.使用小鍵盤防止鍵盤側錄

開啟 Windows 內建的小鍵盤,以滑鼠點擊螢幕畫面上顯示的「虛擬鍵盤」按鍵,來防止使用「實體鍵盤」的 key in 遭竊聽。

 

在這資訊爆炸的時代,幾乎沒有不使用 3C、資訊系統的人,就連近期領取振興券、施打疫苗等,政府皆以網站系統進行登記作業。而在「資安天秤」上,盛放著「便利」的另一端便是「風險」,使用者感受越是輕鬆方便的體驗,伴隨的卻是更加沉重的資安風險,故需養成好的資訊使用習慣,以避免帳戶遭冒用,反而換來更多的不便。

 

Alan


我還年輕,但我不隨便奉獻新鮮的肝。我是普拉瑞斯創意整合有限公司的資訊工程師游騰昕(Alan),寧可花一點時間建設好系統,也不要頻頻半夜起床補洞口。


你可能會喜歡

TOP