密碼管理服務供應商 LastPass 最近向大批用家發現電郵警告,指他們的帳戶出現不尋常的登入記錄,更聲稱已為用家阻截登入,呼籲用家盡快修改密碼及啟用雙重因素驗證 (two-factors authentication) 功能。不過,LastPass 堅稱並未發生數據外洩事件,但就有受影響用家聲稱登入密碼未有共用於其他帳戶,真相到底是? 為了保障各種帳戶的安全,不少人都會為每個帳戶設定獨一無二的強密碼 (strong password),即在字元長度、字符組合複雜程度上均達到一定標準的密碼。不過,並非所有人都有超人記憶力,因此要管理所有帳戶的密碼,便必須借助密碼管理器 (password manager) 記錄,而用家日後要取得這些帳戶登入資料,便只須記著一個密碼管理器的登入密碼,上述的強密碼應用才變得可行。 LastPass 便是其中一款最多人使用的密碼管理器,但就在近日內,有 LastPass 用家收到官方發現的電郵警告,稱其帳戶出現可疑登入,雖然對方使用了正確的帳戶登入資料,但由於登入的位置與用家平常有很大出入,系統站於安全立場,已先為用家進行攔截,並建議如登入並非由用家自己執行,便應立即更換密碼及提升安全檢查功能。LastPass 方面堅稱內部未有發生任何數據外洩,相信黑客是從其他數據外洩事件中取得用家的帳戶登入資料。 不過,有 LastPass…
Search Results: 密碼 (400)
調查發現,密碼成為妨礙企業員工工作的其中一大障礙。有六成受訪者表示因密碼問題導致他們無法順利工作,而且為了解決帳戶驗證問題,平均必須花費五小時,有 15% 更超過 9 小時以上,如果使用密碼管理器,就可大大減少問題發生。 相關研究由驗證服務供應商 Axiad 進行,調查報告一共訪問了 2,000 位美國員工,以了解他們在登入公司帳戶及使用各種應用服務時,由帳戶密碼引發的問題。結果顯示,有 60% 受訪者因密碼問題而無法工作,59% 受訪者更要求助 IT 部門,才能繼續使用公司的電腦設備,另外又有 48% 表示因忘記密碼導致無法使用軟件或協助工具,嚴重影響生產力。雖然受訪員工對遭遇表示不滿或憤怒,但約 48% 承認問題與自己有關,因為他們間中會忘記所選用的密碼,或因抄寫下的密碼不翼而飛,才被迫需要重設帳戶密碼,浪費大量工作時間。 事實上,密碼是保護帳戶或電腦設備的最基本方法,而且密碼的複雜程度必須夠高,才能延遲被暴力破解的機會,例如有安全專家便建議在設立密碼時,必須超過…
Microsoft 檢測和響應團隊 (Microsoft Detection and Response Team, DART) 表示,他們偵測到針對雲端特權帳戶和高級身份帳戶的密碼噴灑攻擊有所增加,呼籲用戶注意。 密碼噴灑攻擊屬於蠻力攻擊的一種,攻擊者試圖使用常用密碼,存取大量帳戶,看看會不會剛好「撞中」密碼。這些攻擊通常在從一個帳戶,切換到另一個帳戶時,兩者都使用相同的密碼,以查找容易被攻破的帳戶,而這個方法能避免觸發密碼錯誤所導致的帳戶鎖定,以及惡意 IP 攔截(如使用殭屍網絡)等防禦措施。簡單來說,這種策略透過每次嘗試登入一個帳戶,並以常用密碼列表,快速嘗試登入不同帳戶。 DART 表示,在過去的一年中,他們與 Microsoft 的威脅情報團隊觀察到,使用密碼噴灑攻擊媒介的情況有所增加,最近,DART 發現,雲端管理員帳戶成為密碼噴灑攻擊目標的數字有所增加。DART 建議用家,盡可能在所有帳戶中啟用和強制執行多因素身份驗證 (MFA),並採用無密碼技術,藉以大幅降低帳戶受此類攻擊,繼而被盜用的風險。 Microsoft…
設置高強度密碼的提醒「講到口水都乾」,但仍然有很多人不以為然,令自己的帳戶處於危險的狀態,有被入侵的風險。Mozilla 研究在 haveibeenpwned.com 的數據發現,有數十萬人繼續使用自己最喜歡的超級英雄作為密碼,倘因此而遭遇資料外洩,不管是。Batman、Spider-Man 抑或是 Superman 都難以打救。 Mozilla 最新的博客文章提到,以超級英雄作為密碼的情況,在洩露資料數據中出現得愈來愈多。其中 Superman 出現在 368,397 款洩漏資料,Batman 出現在 226,327 項資料中,以及 Spider-Man 被發現出現在 160,030 項資料,另外…
美國一間數碼身份公司早前進行一項研究,了解受訪者對創建密碼的策略及線上安全意識行為。研究竟發現,超過三分之一的人曾嘗試猜測別人的密碼,而當中更有四分之三的人成功登入;而有十分之一的人相信,有人可以從瀏覽他們的社交媒體,來猜出他們的密碼。所以密碼的設定絕不能掉以輕心,以免被人入侵帳戶而不自知! 總部位於紐約的 Beyond Identity 早前與在美國與 1,015 人進行了訪談,發現無論是密碼共享,抑或是隨便馬虎的密碼設定習慣,都會讓許多人的個人或專業帳戶易受攻擊,這對公司和家庭用戶來說隱藏了巨大的風險。 研究揭示,很多人習慣共享了帳戶密碼,超過一半的人 (50.1%) 分享自己的影片串流媒體帳戶,也有接近半數人分享個人音樂串流媒體帳戶 (44.9%)。甚至有四分之一 (25.7%) 的人會連網上銀行密碼也「共享」。而平均而言,一眾受訪者會與其他人共享三個密碼。 研究表明,許多人曾試圖猜測別人的密碼,部分甚至成功猜對,超過 73% 的人設法猜到了他人的密碼。超過一半 (51.6%) 的人試圖猜測他們另一半的密碼,接近四分之一 (24.6%) 的人曾試圖猜測他們孩子的密碼,更有超過五分之一…
漫威(Marvel)的超級英雄系列,一直廣受大眾歡迎。Loki 作為 Thor 的弟弟最近在一場「戰役」中,竟然勝過「大佬」,而這件事竟是與密碼有關,是怎麼一回事呢? 資安專家 Davey Winder 在 Forbes 分享,很多人在創建密碼時,都會將超級英雄的名字融入當中,不過 Winder 指出這個創建密碼的方式其實很糟糕:據密碼專家 Specops 最新發表的研究指出,超級英雄的名字在已洩露的個人憑據數據庫中,出現了超過 100 萬次。而漫威的超級英雄中,誰的名字在這批外洩密碼中名列前茅?答案就是 Loki 和 Thor。Loki 作為密碼出現的次數為…
密碼管理器一般都附帶有產生密碼功能,Kaspersky Password Manager 亦無例外,不過,有網絡安全研究員就發現它產生密碼的方法原來有跡可尋,而且不同用家在同一時間獲派的密碼更是一模一樣,咁都得? 戴返頭盔先,由網絡安全研究所 Ledger Donjon 發現的 Kaspersky Password Manager 密碼產生器缺陷,確實存在的日期是在兩年前的六月,經研究員 Jean-Baptiste Bedrune 向 Kaspersky 通報後,相隔一個月已有更新檔推出,效率非常之高。而 Bedrune 相隔兩年先舊事重提,純粹是分享有關密碼產生器應有的安全考慮。 Bedrune…
最近有一個大規模的網絡釣魚活動,表面偽裝成勒索病毒,但實際上是特洛伊木馬惡意軟件,並在 Windows 系統中創建了後門,以從受害者的裝置中的竊取用戶名,密碼和其他信息,聽落相當蠱惑! 這個以 Java 為本的 StrRAT 惡意軟件,在受感染的電腦裝置中創建後門,表面上如勒索軟件一樣,但實際上是分散受害者注意力,以偷取其個人憑證資料。Microsoft 網絡安全研究人員指出,這個 StrRAT 惡意軟件正以大型電子郵件活動散播,利用受感染的電子郵件帳戶來傳送聲稱與付款相關的郵件,以及以 PDF 附件圖象使之更像真;當用戶打開這份附件,便會被導向至下載 StrRAT 惡意軟件的網頁。 研究人員形容,此惡意軟件的最新版本是比之前的版本更混亂及模組化,除了具有相同的入侵電腦後門功能,包括收集密碼、記錄、操作執行遠程命令和使用 PowerShell 的能力,還包含讓攻擊者可以全權控制受感染的電腦的能力。 在感染過程中,惡意軟件會在文件中添加 .crimson…
不少人喜歡以自己身邊的事物,就地取材設置成密碼,但愈容易被猜測的密碼,例如寵物的名字、家人的名字、紀念日、最喜歡的球隊名,甚至是直接用「Password」當密碼,轉個頭隨時就被黑客入侵!國家網絡安全中心(NCSC)指,保護帳戶要記得不要用上述的因素。 NCSC 發表的研究指出,15% 的人使用了寵物的名字作為密碼,而 14% 的人則使用了家庭成員的名字,另有 13% 的人使用了重要的日期,例如生日或週年紀念日,而 6% 的人使用自己支持的運動隊伍名稱作為密碼。儘管這些密碼相當易記,但同時增加了帳戶被犯罪分子入侵的風險。黑客可能會從社交媒體帖子中獲取相關資訊,從而猜測到在密碼提示,如寵物的名字之類的答案,然後就可以嘗試藉此入侵帳戶。 黑客也會使用攻擊工具試圖破解賬戶,如帳戶使用簡單的單字作為密碼,更相對容易被破解。使用「Password」這類密碼,變相為網絡犯罪分子提供開啟入侵賬戶的大門。 通過使用防禦強度弱的密碼,可能會將個人信息或財務狀況暴露於危險之中,尤其是在多個帳戶中,都重複使用相同的密碼。如果被竊取的密碼還用於公司帳戶,黑客若試圖以此查看個人帳戶密碼也可用於公司帳戶,受害人隨時令僱主面臨網絡攻擊的風險。 NCSC 提供以下的建議:使用三個隨機單詞作為密碼,保護帳戶。這是因為三個單詞相對容易記住,而且運用隨機的三個單詞,即使黑客運用蠻力工具,仍可阻止他們以猜測密碼的方式進入帳戶。NCSC 還建議用戶須確保電子郵件密碼與其他帳戶的密碼不同,因為如果攻擊者竊取了電子郵件用戶名和密碼,他們可使用受害人的電郵地址作為其他網站的登錄名稱。 除此之外,NCSC 亦建議用戶將密碼保存到網絡瀏覽器,因為用戶能夠輕鬆登入網站,還有助於保護受網絡罪犯侵害,例如瀏覽的網站是竊取憑據的假冒網站,密碼管理器將無法正常運作。NCSC 亦建議用戶應啟用兩重因素身份驗證,以進一步作屏障。 資料來源:https://zd.net/3wMiNU4
Google 在剛舉行的 Google I/O 2021 大會上公布,即將為全球 Android 版 Chrome 用家推出新服務,透過人工智能 (AI) 技術 Duplex on the Web,讓用家可以更簡單為各種帳戶更改登入密碼。另外,其密碼管理器亦有新工具,可直接匯入第三方密碼器內儲存的帳戶登入資料。一切鋪排,無非希望提升用家的帳戶安全性。 不少網絡安全事故的肇因,都是因為用家的帳戶登入資料不幸遭受外洩,而用家又未能及時發現。有見及此,Google 早已在 Chrome 的密碼管理器內增值外洩事故通報,當…