【密碼之戰】Loki 點解會贏咗雷神Thor?
漫威(Marvel)的超級英雄系列,一直廣受大眾歡迎。Loki 作為 Thor 的弟弟最近在一場「戰役」中,竟然勝過「大佬」,而這件事竟是與密碼有關,是怎麼一回事呢?
資安專家 Davey Winder 在 Forbes 分享,很多人在創建密碼時,都會將超級英雄的名字融入當中,不過 Winder 指出這個創建密碼的方式其實很糟糕:據密碼專家 Specops 最新發表的研究指出,超級英雄的名字在已洩露的個人憑據數據庫中,出現了超過 100 萬次。而漫威的超級英雄中,誰的名字在這批外洩密碼中名列前茅?答案就是 Loki 和 Thor。Loki 作為密碼出現的次數為 151,000 次,壓倒 Thor 的 148,000 次,成為「最受歡迎的超級英雄」。跟隨他們之後的卻不是其他漫威人物,而是 DC 的人物,依序為 Robin、Joker、Flash、Batman 和 Superman。
Winder 提到,即使創建帳戶的平台沒有限制密碼字符類型或長度,大多數人仍然會選擇常見的單詞作為密碼。去年有相關研究,分析在洩露的個人憑證數據庫中所發現的超過 2.75 億個密碼,其中 56% 被使用超過一次,即是將近 1.53 億個密碼被多次使用。雖然「123456」仍然是 2020 年最常用的密碼,出現次數達到 250 萬次,反映保安度不足。
當然,使用字典中的單詞、名字(包括超級英雄的名字)和日期作為密碼也並不安全。即使用上字符替換的方法為密碼增加破解難度,也難以提升安全度,因為犯罪分子早就料到這種轉換方式,而這種採用字符替換的密碼也無法通過「Can this password be cracked quickly」的測試。
Winder 特別提到,在不同帳戶重複使用相同的密碼,即使是使用由隨機密碼生成器所創建的高強度長密碼,其安全保密度也會大幅削弱,因為如果遭遇數據洩露事故,超強度的密碼也會曝光,繼而令其他網站的帳戶和服務都容易受到攻擊。Have I Being Pwned 數據庫記錄了被洩露的帳戶,讓大眾可檢查自己的帳戶,是否牽涉在已洩露的 6 億多條密碼資料中。
回到以簡單字詞作為密碼的話題,Winder 指資安行業、企業及傳媒均應以如何將提高 Password Hygiene 的意識,傳遞給那些明知數據庫洩露新聞存在、仍繼續使用超級英雄或寵物名字的的大眾,認清安全問題的重要性。Immersive Labs 的首席應用安全工程師 Sean Wright 指,Password Hygiene 仍然是一個重要問題,並稱最大的原因是人類通常不會輕易改變習慣,所以最簡單的方法是禁止使用保安過弱密碼。一些組織已實行類似的做法,但是如果應用得更廣泛,將能提供更大的保護。
Specops Software 的產品專家 Darren Siegel 建議,企業應該實施培訓員工安全意識的計劃,向他們傳授的密碼安全策略,例如至少應該強制要求長而強的密碼;另外,亦應不斷檢測、刪除和阻止使用已洩露的密碼,並確保自助服務和 IT 服務台製定的密碼重置和解鎖的運作。
ESET 的網絡安全專家 Jake Moore 建議個人用戶使用密碼管理器。 由於密碼管理器負責內存保留部分,因此每個密碼都可能是一個長、複雜、完全隨機的字符集,意味著蠻力破解的效率會降低,他又建議將每個帳戶與身份驗證應用程式的多因素身份驗證結合起來使用,以提高安全性。
最後和大家分享,在洩露的個人憑證數據庫中,40 個最常用的超級英雄角色名稱依次是:
Loki, Thor, Robin, Joker, Flash, Batman, Superman, Vision, Falcon, Penguin, Hulk, Wanda, Venom, Spiderman, Ironman, Katana, Hydra, Wolverine, Gambit, Punisher, Hawkeye, Groot, AntMan, Deadpool, Thanos, Catwoman, Magneto, Riddler, Cyclops, Avengers, Mystique, WonderWoman, Aquaman, BlackWidow, Gamora, TwoFace, Nightcrawler, BlackPanther, GreenLantern.