微軟推出無密碼登入方式。   圖:翻攝自微軟官網
新頭殼newtalk
2021/9/18
密碼是最常見的認證機制,但是容易被駭客鎖定破解,用戶要記住多組密碼也相當麻煩,因此微軟宣布未來幾週將開放免密碼的登入方式,允許用戶透過臉部辨識、指紋等管道登入旗下的熱門軟體。
微軟表示,接下來幾週將引進「無密碼帳戶」的選項,用戶可以改搭配手機的Authenticator應用程式,使用指紋、臉部辨識、PIN碼或是限時一次性的密碼登入,也可以透過Windows Hello,一樣支援臉部辨識、指紋或PIN碼。
用戶也可以選擇購買外接的安全鑰匙,是一款存有登入資料的USB硬碟,或者是註冊電話號碼和E-mail帳號,在每次登入時收取微軟發送的認證碼。新的登入功能在幾個常見的微軟產品都可以使用,像是Outlook電子郵件或是OneDrive雲端儲存。
微軟近期頻頻爆出駭客攻擊事件,其中破解密碼就是最常被使用的策略。微軟統計,駭客平均每秒會發動579次密碼攻擊,一年累計下來高達180億次。此外,密碼也容易被駭客放上暗網販售,一旦電子郵件被入侵,就可能被拿來破解更多服務。
微軟表示,現在幾乎所有內部員工都使用無密碼方式登入帳戶,有些企業客戶試用後也給予正面回饋,因此呼籲用戶踴躍嘗試,如果不滿意都能夠隨時切換回傳統的登入方式。密碼難記還容易被駭客破解!微軟推「無密碼」登入選項 https://bit.ly/2VPEAN0


誰還用它當密碼啦!英國公布10大爛密碼 「123456」又蟬聯冠軍 |  http://tinyw.in/BASp
10大最爛密碼
123456
123456789
qwerty
password
111111
12345678
abc123
1234567
password1
12345

 


顯示破解該密碼所需要花費的時間
想知道破解你的密碼需要多少時間嗎? _ 重灌狂人 - http://goo.gl/kvKhhr
How Secure Is My Password? - http://goo.gl/WqNEm

美國網路安全公司SplashData,於去年收集了超過330萬筆洩露的密碼發現,2014年最受歡迎的密碼為「123456」,其次為「password」,第三名則是「12345」。SplashData表示,這些最爛密碼的的共同特性不外乎都是由「數字」所組成,另外也建議千萬不要使用自己的生日、出生年份及姓名來做為密碼。

以下是2014年最爛密碼前10名
1)123456
2)password
3)12345
4)12345678
5)qwerty
6)123456789
7)1234
8)baseball
9)dragon
10)football

enlightened如何安全設定密碼?
1. 不同網路設定不同密碼
就像我們不可能用同一把鑰匙開啟車子、家門、公司所有門鎖,因為一但有不法人士破解其一,便能輕易入侵所有帳戶。

2. 「數字+英文字母+符號」長密碼最安全
切忌使用全數字或全英文字母當作自己的密碼。設定密碼時,「數字+英文字母+符號」的組合較不容易被猜測及破解,同時密碼越長越安全。

3. 定期更新
如果是設計需要輸入圖片認證碼、錯誤幾次後鎖住帳號等的登入系統,大約兩三個月更換一次即可。如果沒有的話更新密碼頻率就要頻繁一點,可能一個月就必須重新更新一次。

------------------------------------

 

偷情網站AshleyMadison.com外流密碼統計,123456仍是冠軍

 

先前偷情網站Ashley Madison遭到駭客入侵,導致約100GB的敏感資料外流,其中不乏使用者姓名、電子郵件信箱地址,甚至是喜愛的招式等個人資料。整起事件唯一不幸中的大幸就是尚未有使用者的密碼遭公開,然而這個局面隨著使用者密碼資料已被解密而有所改變。

 

偷情網站遭駭客入侵

Ashley Madison是個知名的「社群網站」,但它與Facebook、Twitter等社群網站不太一樣,一進入Ashley Madiso網站首頁,就能看到聳動的標語「人生苦短,及時行樂」,讓人嗅到一股不尋常的氣息。

其實Ashley Madison是專為已婚人士提供約會服務的網站(簡單的說就是媒合外遇),根據維基百科記載,該網站由埃爾•彼得曼(Noel Biderman)於2001年在加拿大創辦立,服務全球超過29個國家,擁有2,000萬名會員(筆者撰稿時該網站宣稱擁有超過4,100萬名會員),每月平均有180萬人次瀏覽。

由於它特殊的「服務項目」,因此曾被宗教團體批評破壞家庭關係,日前也被駭客組織Impact Team威脅,如果Ashley Madison網站不關閉,就要將會員資料公開在網路上,然而事件的後續發展就是會員資料被攤在陽光下。

當時由於會員密碼受加密保護,所以並未外流,但是根據The Hacker News報導,有1,100萬名會員的密碼已被專門破解密碼的組織CynoSure Prime所解密。

CynoSure Prime發現在2012年6月以前註冊的使用者,其帳號資料是經MD5演算法進行雜湊運算加密,然而MD5演算法的安全性極低並已被破解,所以CynoSure Prime只要破解會員資料的加密方式之後,自然就能竊取使用者的密碼。

▲Ashley Madison是專為已婚人士提供約會服務的網站。

▲筆者撰稿時該網站宣稱擁有超過4,100萬名會員。

▲在Ashley Madison網站已被攻擊之後,官方還宣稱自己保密安全,相當諷刺。

123546懶人密碼奪冠

The Hacker News也公開了前30名熱門密碼名單,使用123456作為密碼的會員人數高達120,511人,為最多人使用的密碼,而12345則榮登第二名,有48,452人使用。其他常見的懶人密碼還包括password、696969、batman、qwerty、abc123、dragon、football、baseball等等,詳細的1至30名排行榜請參考下方附表。

比對先前資安公司SplashData公布了2014年最爛密碼的前25名排行榜,兩者最大的共通點就是123456皆為「最熱門」的密碼。SplashData的執行長Morgan Slain表示,由簡單模式組成的密碼雖然很常見,但卻也很脆弱,任何密碼都不應只單純使用數字,現在也有越來越多網站強制要求使用者建立字母與數字並存的密碼,於是使用者建立了更長的密碼,但它們並不一定足夠安全。

基本上最常見的密碼破解手法不外忽窮舉破解法與字典檔攻擊等方式,所以可以由此推斷,密碼的複雜性越高越好,最好能包含大、小寫英文字母、數字、符號等字元,並且避開使用英文單字或具有意義的詞彙,雖然會這會密碼變得很難記住,不過卻能提高破解密碼的難度。筆者先前撰寫了3篇關於密碼相關知識的文章,有興趣的讀者可以參考下方延伸閱讀。

▲在Ashley Madison網站外流的會員密碼中,最多人使用的是123546。

▲在第11至20名中,開始出現了一些英文單字,不過這種密碼很容易被字典檔攻擊破解。

▲有趣的是把冠軍倒著寫的654321也是榜上有名,位居第26名。

▲2014前25大最爛密碼排行榜名單,其中有不少密碼與Ashley Madison這份名單重覆。

------------------

arrow
arrow
    全站熱搜

    nicecasio 發表在 痞客邦 留言(0) 人氣()