英国《卫报》(The Guardian)报导,网路安全专家指出,许多人为了方便记忆,会重复使用相同的密码,或是在旧密码后面加上数字、符号等简单变化,这都形同是为骇客敞开大门。这种行为正是骇客入侵帐户的常见手法。
所谓的「白帽」骇客(white hat hacker),资安专家穆塔(Brandyn Murtagh) 说明,骇客透过入侵如 Dropbox、Tumblr 等网站,早已取得大量外泄的帐号密码。他们会利用一种称为「撞库攻击」(credential stuffing)的手法,用这些外泄的密码去尝试登入其他网站,看看能否成功。
更进阶的手法,是他们不仅会使用外泄的原始密码,还会利用程式去测试各种衍生出的密码组合。
根据维珍媒体 O2 研究显示,高达五分之四的人在不同的帐户上使用相同或几乎一样的密码。
穆塔举例,你可能一个帐号用「Guardian」,另一个帐号用「Guardian1」,这种看似不同的密码,对骇客而言几乎是形同虚设。
Murtagh 与维珍媒体 O2 合作进行了一项实验,让志愿者提供自己的电子邮件地址。
结果显示,骇客可以轻易地在几分钟内追踪到他们的密码。维珍媒体 O2 的发言人表示:「人类行为模式很容易被预测。骇客知道你可能会用一个密码,然后在结尾加上一个句号或惊叹号。」
Murtagh 解释,骇客会使用自动化程式(scripts)来尝试各种密码组合,这是一种大规模的攻击,就像企业经营一样。
骇客锁定的目标通常不是单一的个人,而是数千人的群组。当你发现有人试图更改你帐户的电子邮件地址或其他资讯时,就可能代表你的帐号已经被骇客锁定了。
穆塔建议,立即更改所有重复使用或衍生出的密码。
特别是银行、电子邮件、工作和手机这四类最重要的帐户,应该优先处理。
使用密码管理器:许多浏览器都内建密码管理功能,例如 Apple 的 iCloud 钥匙圈和 Android 的 Google 密码管理工具,它们可以帮助你生成并储存复杂的密码,避免记忆困扰。
开启双重或多重验证(2FA/MFA):这会让你在登入网站时多一道验证步骤,即使骇客知道你的密码,也无法轻易登入你的帐户,大大提升帐户的安全性。
點擊閱讀下一則新聞
