「admin」也是你公司系統密碼嗎—— 5 種最常見的密碼,你公司中了幾個?
現在人們的生活越來越網路化,每做一件事情,就會被要求創建一組帳號密碼,一個人擁有 10 幾組的帳號密碼已經是家常便飯。你我是不是都會偷懶,盡量使用簡單好記的帳號密碼呢?偷偷跟你說,不只我們會偷懶,就連「系統管理員」也會!
研究:超過 4 萬組密碼都用「admin」
根據網路安全公司 Outpost24 最近的研究,在蒐集到的 180 萬組密碼中,就有超過 4 萬組的密碼是「admin」。這樣的結果或許不令人意外,因為有很多的系統預設就是這組密碼,或許根本沒有更改。其次是「12345」、「12345678」、「1234」和「Password」。Outpost24 高級產品經理 Darren James 表示,在多個系統中使用相同的、容易猜測的短密碼極易受到攻擊,我們需要改變在設定密碼方面的邏輯。
這是管理員的問題嗎?或許不然。許多系統的密碼在網路成為一種生活方式之前就已經使用了,而公司組織通常不會主動提出更改密碼的要求,有許多早期設定的短密碼一路延用至今。James 建議,公司組織必須要制定正確的密碼來降低資安風險,例如系統的預設密碼應該要在第一次使用之後立即更改;另一方面,管理員自己也要養成良好的習慣,例如創建二個帳戶,一組用於系統管理,另一組用在非管理工作。
立即免費報名參加 11/23「資安創新高峰會」,美國資安大廠Palo Alto Networks解說如何做「攻擊面管理」!
該如何設定密碼?6 個字元還不夠力
而在密碼設定的邏輯上,建議設定超過 15 個字元的密碼增加強度,讓駭客更難以破解。駭客除了利用釣魚的方式竊取密碼之外,也常使用程式暴力破解。6 個字元包含大小寫密碼有 3.08 億種可能的組合,但密碼破解程式只需幾分鐘即可完成所有組合。如果將密碼長度增加到 8 個字元,則可能的組合增加到 53 兆組;如果用數字取代其中一個字母,則會產生 218 兆種可能性,而用特殊字元或標點符號取代另一個字母,會產生 6,095 兆種可能的組合。
無密碼時代來臨之前,要保持警覺
如今,一個人擁有數十個密碼的狀況並不罕見,這些又多又長的密碼該如何保存和管理?James 提醒,不要把密碼寫在文件或是電子信箱中,這可能會造成更多的資安問題;也不要隨意使用瀏覽器保存密碼和自動填入的功能。如果對於複雜的密碼管理感到困擾,那麼管理員應該考慮使用密碼管理器。
現在市面上也有許多像 Outpost24 這種網路安全公司,他們提供反惡意軟體工具的服務,並對登入憑證進行掃描,以確保它們沒有被破壞,掃描還可以幫助確定這些登入是否在多個帳戶上使用。
James 表示,雖然現在科技正在努力發展利用無密碼和萬能鑰匙來加強網路安全,但這些方法距離可行還有很長的路要走。在無密碼時代到來之前,密碼仍然是身份驗證過程的關鍵,千萬不可掉以輕心。
立即免費報名參加 11/23「資安創新高峰會」,科技報橘社長戴季全和你談談AI 資安典範轉移新時代:從被動防禦型模式到主動策略性風險管理!
關於資安,你或許還想知道:
*本文開放夥伴轉載,參考資料:《VentureBeat》、TechTarget、Outpost24,圖片來源:Pixabay。
(責任編輯:廖紹伶)