Skip to content

【世界密碼日】這些年,大家一起用的弱密碼

您知道每個五月的第一個星期四是世界密碼日嗎?現代生活每天都過得十分繁忙,您有好好關心過您的密碼嗎?趁著世界密碼日,好好的了解一下關於密碼容易被忽視的問題。

根據 splashdata 的統計,2019 年的十大弱密碼仍是那幾個熟面孔,和 2018 年的榜單做個比較,上榜的密碼大同小異,雖然「sunshine」掉出 Top 10 榜外但也仍是第30名,新進榜的還是更弱的「123123」。並且毫無意外的,仍是「123456」奪下弱密碼冠軍寶座。


什麼是弱密碼呢?就是特別容易被猜中,或是許多人愛用的同一種邏輯所設定的密碼:例如,去年一位國外工程師曾在推特發問,為何 ji32k7au4a83 這個看似安全的密碼在 Have I been pwned 資料庫中出現上百次。然而,這個問題竟然只有台灣網友答得出來,對照注音鍵盤 ji32k7au4a83 = 我的密碼。不僅如此,網友還發現和password、iloveyou相同邏輯的 au4a83、ji394su3 密碼使用量遠超過 ji32k7au4a83。

根據最新美國標準與科技研究院(NIST)所提出的建議,高強度的密碼設定原則,最好包括15個字元以上,並由幾個不相干的名詞或數字組成:例如,VisonExamAttention2020YouLove,這樣超長的密詞可套用自己才知道的邏輯進行組合,比亂數形成的密碼方便記憶,也不容易被破解。另外,若無任何證據顯示密碼有外流的情況,頻率過高的更換密碼,為難的不是入侵者,而是密碼的使用者!

密碼的保護,除了應避免使用弱密碼外,也必須考慮外來的嘗試與破解!當系統遭遇錯誤率過高的外來的密碼嘗試時,應直接封鎖嘗試的來源,而非將該帳號封鎖,這樣才能在避免「暴力破解(Brute-force attack)」、「字典檔攻擊(Dictionary attack)」與「密碼噴灑(Password Spraying)」的時候,不至於困擾擁有正確密碼的主人。

最後,也是大家最容易疏忽的事:千萬不要在多個服務都使用同一組密碼!
一旦任一服務有密碼外洩事件發生時,使用相同密碼的其他服務也跟著一起曝險!

ASRC 研究中心的帳密安全提醒
1. 選擇使用者保護較嚴謹的系統服務,例如一定要有防密碼濫猜的機制
2. 切記,不要一套密碼走天下。不同的服務間使用相同的密碼,只要一個服務的帳密外洩,很容易牽連其他服務帳戶,尤其網路銀行登入密碼更要避免重覆使用。
3. 避免使用公開在外或社群網站可見的生日、姓名、手機等資料做為密碼
4. 雙因子驗證的搭配使用,比定期更換密碼的保護效益有用許多

驗證郵件密碼強度,SPAM SQR 密碼強度檢測模組
企業的電子郵件密碼安全,可透過中華數位科技 SPAM SQR 密碼強度檢測模組定期實施密碼稽核,確保密碼強健度,降低密碼被猜中的風險,避免員工的弱密碼成為資安破口。詳情請洽中華數位科技 02-25422526。

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於中華數位科技 Softnext Technologies Corp.
創立於2000年8月。
秉持著【We Secure Your Content】的服務理念,以提供企業資訊應用管理服務及打造資訊內容安全防護為宗旨。專精於提供網路應用服務技術,根據市場需求推出多款資訊內容安全的解決方案及應用服務,能夠協助企業透過符合資安管理規範並遵循法規的方式進行資訊內容安全管理,以維護員工的生產力、提升企業經營績效。

關於 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com