Search Results: 強密碼 (29)

    話咁快又到 2019 年尾,又係做回顧嘅好時機喇,唔少 IT 公司陸續發表 2019 年網絡安全回顧,當中又點少得「最強密碼」呢個 item 呢?NordPass 先後根據手頭上獲得嘅個人私隱外洩事故及用家資料庫,歸納出最多人用嘅弱密碼出嚟。雖然數字系嘅「12345」、純愛系嘅「iloveyou」、鍵盤系嘅「QWERTY」、直覺系嘅「password」等依然穩佔榜首,但亦有好多女士嘅英文名上榜,例如Nicole、Jessica 及 Hannah 之類,可見大家用密碼都仲係好隨心,私隱唔係乜嘢大不了嘅事,最緊要係方便記就得。 另一個原因就係好多人都以為強密碼係無可能記得住㗎,就算今次改咗,轉過頭再登入就肯定要㩒「forget password」,咁咪即係盞搞?其實網絡安全專家 Cypri 就話強密碼唔一定要複雜,而係密碼長度勝過一切,所以應該揀 PassPhrase 而唔係 Password,例如 @#E4i8!2 呢組密碼睇落夠晒強,但 8 個字元嘅密碼係今時今日嘅電腦設備下,只需大約 7 分鐘就可以暴力破解;但如果換轉用 「I want to buy 1 pair of running shoes!」呢?呢組望落好弱嘅密碼,一樣有齊英文大細楷、數字同符號,但破解時間即刻暴升到幾百萬年,而且亦唔算難記,所以話強密碼唔一定係複雜就係咁解。 既然強密碼唔需要複雜,咁大家應該都檢查下自己用緊嘅密碼出咗事未。Microsoft 嘅 Regional Director Troy Hunt 就整咗個「Have I Been Pwned」搜尋網頁,搜集咗之前發生嘅洩密事故資料,俾大家檢查下自己個電郵或密碼係咪榜上有名,如果有嘅就不妨根據 PassPhrase 原則去 Set 個新密碼啦! 資料來源:https://bit.ly/2RVwPRq、https://bit.ly/2PofUVI

    至少有六個不同的殭屍網絡惡意軟件集團,正在試圖濫用 TP-Link Archer AX21 (AX1800) 路由器的一個已知漏洞,而根據網絡安全公司 Fortinet 的數據顯示,各路黑客平均每日都會嘗試利用這個漏洞發動約五萬次攻擊,所以用戶如果過了一年仍未修補這個漏洞,到發現被入侵時,就只能怨自己慢幾拍。 想知最新科技新聞?立即免費訂閱! 有好幾個網絡安全研究人員,在 2023 年 1 月發現了 TP-Link Archer AX21 路由器的網絡管理介面存在嚴重的零日漏洞,研究員指出黑客可以通過連接路由器的 API,在路由器上不經身分驗證而執行惡意編碼,從而達到控制路由器發動 DDoS…

    變種殭屍網絡軟件 TheMoon 在過去一個月非常進擊,安全專家發現黑客已利用 TheMoon 入侵 88 個國家的小型辦公室及家用路由器,3 日內成功將超過 6,000 部裝置收編旗下,當中更有絕大部分屬於 Asus 路由器。被感染的裝置,會用來隱藏犯罪分子的活動,如果不幸成為其中一員,隨時會在執法部門追蹤罪犯行蹤期間,無辜成為被調查的對象。 想知最新科技新聞?立即免費訂閱! 眾所周知,黑客不會放過任何機會建立或壯大殭屍網絡大軍的規模,因為殭屍網絡的用途廣泛,當中最多黑客會應用於 DDoS 攻擊,而控制的兵力越大,可製造的洪流亦越強勁及難以阻擋。 不過,Black Lotus Labs 安全研究員在報告中提及由…

    五眼聯盟的網絡安全機構近日聯合發表針對俄羅斯間諜組織 APT29 的研究報告,報告內指出 APT29 黑客的入侵手段已有明顯改變,由過往會利用軟硬件的安全漏洞滲透內部網絡,轉移至專門攻擊目標機構的雲端服務。雖然一般企業未必會成為間諜組織的攻擊目標,但這種攻擊手法其實已漸成趨勢,管理層必須加倍防範。 想知最新科技新聞?立即免費訂閱! APT29 過去「戰績彪炳」 被美國、英國、澳洲、加拿大、新西蘭組成的五眼聯盟盯上的俄羅斯間諜組織 APT29,又稱為 Cozy Bear、Midnight Blizzard 等,這個組織的往積相當彪炳,例如曾利用 Solarwinds 軟件的安全漏洞入侵美國多間大型企業及政府部門,又曾借助盜取的 Microsoft 365 帳戶,刺探北約國家的對外政策。另外還有上年 11…

    雖則全球每日都在發生入侵企業事故,不過,其實很多時黑客並非通過搜尋 IT 漏洞達成任務,而是用更簡單的方法,例如花點時間騙取目標企業員工的帳戶登入資料,或索性用暴力破解(brute force)或密碼噴灑(password spraying)猜測帳戶密碼。 想知最新科技新聞?立即免費訂閱 ! 根據《2023 年 Verizon 數據洩漏調查報告》提及,在 2021 年 11 月至 2022 年 10 月期間發生的數據外洩事件中,有 83%…

    在香港也有不少用家的 TP-Link 智能燈泡及其所使用的 Tapo 手機應用程式,被網絡安全研究員發現存在四項安全漏洞,黑客可以通過假扮成 Tapo L530E 智能燈泡,反過來取得用家的 Tapo 帳戶名稱及密碼,從而取得用家所有 Tapo 裝置的使用權限,到時用家日常生活就會變成真人騷,諗起都驚。 想知最新科技新聞?立即免費訂閱 ! TP-Link 智能燈泡受歡迎 應用程式近千萬下載量 由英國及意大利兩間大學組成的網絡安全研究團隊,為了撰寫針對智能物聯網設備的安全風險,因而在市場上搜尋最多人使用的產品進行分析,以查看其產品在數據傳輸及身份驗證上有否存在安全漏洞。 研究團隊發現,TP-Link 推出的智能燈泡 Tapo…

    美國 CISA 發表有關勒索軟件集團 Royal ransomware 的調查報告,指這個集團正在瞄準美國及國際組織進行攻擊。由於他們會使用先進方法入侵,而且能夠同時攻擊 Windows 及 Linux 作業系統,再加上他們的目標包括通訊、教育、醫療保健、製造業等關鍵行業,因此 CISA 才會發出緊急警報! 想知最新科技新聞?立即免費訂閱 ! 根據 Trend Micro 安全研究員的調查顯示,Royal ransomware 在…

    網絡釣魚經常利用虛假的社交媒體資料,以及對目標人物作深入調查,從而製作出精細的攻擊活動,誘騙受害者點擊惡意連結,並將用戶名和密碼「雙手奉上」。究竟有甚麼方法可以避免墮入黑客的陷阱?正所謂知己知彼,首先我們要了解黑客背後的運作模式。 英國國家網絡安全中心(NCSC)早前發出警報指,網絡釣魚攻擊針對來自多個行業的個人和組織。網絡釣魚攻擊的最終目標,是誘使受害者點擊惡意連結,這些連結會導向看起來逼真的虛假登入頁面,受害者一旦輸入他們的登入憑據,等同向攻擊者直接提供自己帳戶的訪問權限。黑客透過利用這些帳戶,再接觸其他受害者。 許多惡意連結的頁面會設計成常用的雲端軟件和協作工具,如 OneDrive、Google Drive 和其他文件共享平台。其中一個案例是攻擊者與受害者進行 Zoom 通話,然後在通話期間於即時訊息發送了一個惡意 URL。他們甚至會在網絡釣魚過程中,創造出多個角色並操作,增加可信性。 魚叉式網絡釣魚攻擊的第一階段是做研究和準備。攻擊者透過社交媒體和網絡平台等的公開資料,盡可能了解目標人物背景,包括他們的職業和聯絡人,例如家人、朋友和同事。攻擊者通常會根據真實人物,設置虛假社交媒體和文件以令人信服,使之看起來像是與真實事件相關,實際上這些事件並不存在。 據 NCSC 指,這些活動是俄羅斯和伊朗的網絡攻擊者所為,兩地的攻擊活動雖不相關,但策略相同。無論攻擊者冒充何人,或使用甚麼誘餌,這些魚叉式網絡釣魚活動都有一個共同特徵,就是以個人電子郵件地址為目標。這種策略能用以繞過對公司賬戶和網絡安全控制,而公司或企業電郵也成為攻擊目標。 這些網絡釣魚活動背後另一關鍵要素,是攻擊者相當有耐性,他們會花時間與目標建立關係。通常他們不會立即潛入,或直接要求目標人物點擊惡意連結或打開惡意附件,反而會與目標慢慢建立信任。過程通常從一封看起來平平無奇的電郵開始,通常是經調查後發現目標很可能感興趣的內容,藉以吸引他們,然後他們之間來回發送電子郵件,有時持續很長時間,直到建立起受害者所需的信任,令他們中招。 惡意連結將偽裝成受害者感興趣的文檔或網站,如會議邀請或議程,將受害者導向至攻擊者控制的伺服器。當受害者在惡意連結中輸入用戶名和密碼時,這些資料將發送給攻擊者,他們便可利用受害者的電子郵件和其他帳戶作更多行動。據 NCSC 稱,這些行動包括從帳戶中竊取訊息和文件,以及監控受害者未來發送和接收的電子郵件和附件。 攻擊者還會利用受害者電子郵件帳戶的權限,獲取郵件列表數據和聯絡人列表,隨後用於後續活動:由其他人作進一步網絡釣魚攻擊。 NCSC 運營總監…

    一款新的跨平台殭屍網絡惡意軟件 MCCrash,近來透過偽裝成破解版或免費版軟件感染電腦用家,並控制電腦裝置向《Minecraft》私人伺服器發動 DDoS 攻擊。由於 MCCrash 具備內部網絡散播能力,專家指一旦成功立足在網絡內的 IoT 產品上,將很難完全清除。 《Minecraft》這款自由度極高的沙盒遊戲,可讓玩家在各種遊戲世界內冒險及收集資源,從而打造屬於自己的國家,它的受歡迎程度極高,不少香港中小學學生也有參與遊戲。遊戲容許玩家自建伺服器,邀請朋友或其他玩家一同體驗自家開發的小遊戲,因此打造伺服器可說是大部分《Minecraft》玩家都曾嘗試的經驗。 現時受歡迎的《Minecraft》私人伺服器很多,因此有黑客為了傷害其他玩家,或對私人伺服器持有者進行勒索,便會發動 DDoS 攻擊以癱瘓其運作,今年 10 月,Cloudflare 便曾為一個知名伺服器 Wynncraft,成功攔截每秒數據流量達 2.5 Tbbs 的破紀錄 DDoS…

    密碼管理服務供應商 LastPass 上月承認公司遭受黑客入侵,不過,事故調查報告要到九月中才發表。官方聲稱黑客並未接觸到客戶資料及加密密碼引擎的詳情,換言之客戶可以放下心頭大石。LastPass 如果對這次事故的調查屬實,就可說是其中一個網絡安全案例正確示範,企業管理者不妨參考一下。 為了保障帳戶的安全性,不少用家都會聽專家之言,起碼會為帳戶採用強密碼,即密碼結合大細楷英文字串、符號、數字,以及密碼至少有 8 個位長度。不過,有調查指現時一般人至少擁有過百過網上服務帳戶,如果密碼要夠長及複雜,而且又要為每個帳戶設立不同密碼組合,相信很少人有能力做到,於是網絡安全專家會建議網民使用密碼管理服務,例如 LastPass、1Password 便是較出名的服務供應商。 雖然這個方法可解決用家無法記住太多密碼的煩惱,但如果密碼管理服務供應商遭受入侵,用家儲存的帳戶資料便有機會一次過被盜取,所以當 LastPass 上月爆出遭入侵事故時,不少用家都相當憂慮,因為隨時會為所有帳戶重設密碼。還好 LastPass 管理層終於發表調查報告,指出這次黑客雖然成功入侵公司的開發環境,假扮成公司其中一個開發人員並為帳戶通過多重因素驗證,不過,公司卻未有太大損失,原因主要有兩點。 首先,官方指 LastPass 有嚴格控制產品推出流程,即使黑客在這次事件中能假扮 Development Team 員工,但由於產品必須經過…