駭客怎麼猜到我密碼的？　資安專家點名 「最常犯錯誤」

【余平／綜合外電】你知道自己的帳戶被盜，但怎麼也想不通是哪裡出了錯？很可能就是因為你重複使用了密碼！

英國《衛報》（The Guardian）報導，網路安全專家指出，許多人為了方便記憶，會重複使用相同的密碼，或是在舊密碼後面加上數字、符號等簡單變化，這都形同是為駭客敞開大門。這種行為正是駭客入侵帳戶的常見手法。

所謂的「白帽」駭客（white hat hacker），資安專家穆塔（Brandyn Murtagh） 說明，駭客透過入侵如 Dropbox、Tumblr 等網站，早已取得大量外洩的帳號密碼。他們會利用一種稱為「撞庫攻擊」（credential stuffing）的手法，用這些外洩的密碼去嘗試登入其他網站，看看能否成功。

更進階的手法，是他們不僅會使用外洩的原始密碼，還會利用程式去測試各種衍生出的密碼組合。

根據維珍媒體 O2 研究顯示，高達五分之四的人在不同的帳戶上使用相同或幾乎一樣的密碼。

穆塔舉例，你可能一個帳號用「Guardian」，另一個帳號用「Guardian1」，這種看似不同的密碼，對駭客而言幾乎是形同虛設。

Murtagh 與維珍媒體 O2 合作進行了一項實驗，讓志願者提供自己的電子郵件地址。

結果顯示，駭客可以輕易地在幾分鐘內追蹤到他們的密碼。維珍媒體 O2 的發言人表示：「人類行為模式很容易被預測。駭客知道你可能會用一個密碼，然後在結尾加上一個句號或驚嘆號。」

Murtagh 解釋，駭客會使用自動化程式（scripts）來嘗試各種密碼組合，這是一種大規模的攻擊，就像企業經營一樣。

駭客鎖定的目標通常不是單一的個人，而是數千人的群組。當你發現有人試圖更改你帳戶的電子郵件地址或其他資訊時，就可能代表你的帳號已經被駭客鎖定了。

穆塔建議，立即更改所有重複使用或衍生出的密碼。

特別是銀行、電子郵件、工作和手機這四類最重要的帳戶，應該優先處理。
使用密碼管理器：許多瀏覽器都內建密碼管理功能，例如 Apple 的 iCloud 鑰匙圈和 Android 的 Google 密碼管理工具，它們可以幫助你生成並儲存複雜的密碼，避免記憶困擾。

開啟雙重或多重驗證（2FA/MFA）：這會讓你在登入網站時多一道驗證步驟，即使駭客知道你的密碼，也無法輕易登入你的帳戶，大大提升帳戶的安全性。