88%組織仍信任密碼 16位數長密碼仍不難被攻破
編譯/Cynthia
在數位時代,密碼在保護個人和組織資訊上扮演著極為重要的角色,但最新報告指出,即使我們的密碼越來越長,卻仍難以擋住強力破解的風險。據瑞典軟體公司Specops Software報告,88%的組織仍以密碼作為主要身份驗證方式,而16個字元以上的長密碼也不再足以確保安全。
長密碼也難逃被破解的命運
報告顯示,在3,131萬組密碼中,有1,600萬組長度超過16個字元,但即使密碼更長,仍難以抵擋破解風險。更驚人的是,有4萬個管理員帳號竟使用極為脆弱的「admin」密碼,突顯組織對密碼安全的忽視。僅有一半的組織每月進行一次以上的密碼掃描,顯示另一半根本未察覺密碼可能已被破解,為駭客打開入侵之門。
弱密碼的問題日益嚴重
根據數位資產安全公司KrakenLab的報告,「123456」成為最容易被破解的密碼,而類似於「Pass@123」和「P@ssw0rd」這樣基於活動目錄(Active Directory)基本內建規則的簡單密碼屢次出現,這顯示組織未實施強力密碼控制風險,駭客因此能藉此進行密碼重複使用,進一步提高機密資訊外洩的風險。因此,我們迫切需要更全面了解駭客使用的攻擊手段,以有效應對這些威脅。
駭客攻擊手段
駭客採用多種手段進行密碼破解,其中字典攻擊是相當普遍的手法。駭客使用預定義的「字典列表」進行猜測,主要針對人們傾向於使用簡單和熟悉密碼的特點。社交媒體平台成為駭客取得用戶訊息的重要管道,進一步提高破解成功率。蠻力攻擊則利用軟體試圖嘗試所有可能的字元組合,尤其對於較短或簡單的密碼而言更為有效。而掩護碼攻擊則是蠻力攻擊的一種變種,駭客了解一些常見密碼結構的元素,進而減少猜測的次數,這些攻擊手段顯示駭客對於利用密碼薄弱點進行入侵的巧妙手法。
密碼安全的另類威脅
除了常見的攻擊手段外,我們還需要警惕「鍵盤行走」對密碼安全的威脅。即便是看似隨機的「asdfghjkl」也可能是被低估風險的密碼,因為這是一種鍵盤行走方式,人們通常會選擇相鄰的鍵盤字元作為密碼。雖然這樣的密碼不是真實單詞,但駭客熟知這種常見模式,將其納入字典和蠻力攻擊。
每個帳號都重要
雖然管理員帳號被視為高價值目標,但每個帳號都應該受到重視,因為駭客有能力從普通用戶帳號提升權限,因此所有帳號都應該設定強大而獨特的密碼。強制實施密碼政策,防止使用弱勢密碼,是保護所有帳號的有效手段,即便是強大的密碼,也可能因資料外洩、釣魚攻擊和密碼重複使用而變得脆弱。
密碼安全的全面策略
密碼安全不能僅僅依賴於密碼的長度,更需要一個全面的策略。組織應該推動員工使用更複雜的密碼,並定期更新密碼,強制實施密碼控制措施,包括阻止使用常見單詞和特定模式的密碼,是維護密碼安全的重要一環。儘管密碼安全依然是資安策略的薄弱環節,但通過不斷監控、改進和教育,我們可以更好地應對不斷演變的網路犯罪威脅。
資料來源:Help Net Security
瀏覽 421 次
