密碼既是詛咒也是祝福
tete_escape/Shutterstock
密碼在我們的生活中佔有一個奇怪的位置。這既是一種祝福(保護我們的資料和資訊免遭任何入侵或存取我們的 IT 系統),也是一種詛咒,因為它通常難以管理和記憶。歐洲網路安全公司 ESET 的網路安全專家 Jake Moore 提供了三個技巧,幫助您重新思考密碼的方式,並有望阻止駭客入侵。
1. 使用密碼管理器,即使它看起來違反直覺
我是密碼管理器的忠實粉絲,並認為它們沒有充分利用。根據您所在的位置以及研究人員的不同,只有大約三分之一的人使用密碼管理器。我認為這個數字太低了。他們是遊戲規則的改變者。它們使您能夠為您的帳戶建立長密碼並安全地儲存它們。他們非常擅長為您產生密碼,因此您無需自己想出密碼。
這很重要,因為我們知道,當人們被要求提供自己的密碼時,他們往往會依賴他們知道的事物或單字 – 所有這些都可能是駭客或攻擊者可能掌握的有關您的信息,這些資訊可能會讓您容易受到攻擊。它們還消除了與在帳戶之間重複使用密碼相關的另一個重大風險。如果密碼被其他人(即使只有一個人)使用,而該人的帳戶遭到洩露,則該密碼最終可能會出現在用於檢查和驗證帳戶存取的易受攻擊的密碼表中。
有時我想知道為什麼人們不再使用密碼管理器。他們可能會誤解密碼管理器的工作原理,認為將密碼在線儲存在可以使用單一密碼解鎖的地方是不安全的。但事實並非如此。儲存密碼的保管庫不僅僅是伺服器上儲存的密碼清單:您的資料在裝置上使用從主密碼派生的強密鑰進行加密,並且在線上儲存加密的密文,即使您的密碼管理器提供者沒有該密鑰也無法讀取。
2. 多重身份驗證是絕對必要的。
即使擁有世界上最強的密碼(並且國家網路安全機構建議 14 到 16 個不同字元的組合足以阻止偷渡式攻擊),仍然有可能成為駭客的受害者。多重身份驗證 (MFA) 為駭客增加了額外的層,以確保任何登入都得到您(使用者)的批准。
這是額外的安全層,就像手機上的程式碼一樣。這可以透過簡訊來完成,但它不如其他關卡那麼安全。對我來說,身份驗證應用程式是 MFA 的一個偉大的新水平,但遺憾的是人們沒有被迫使用它。以 Instagram 為例,他們只會告訴您在粉絲達到 10,000 名後才使用 MFA。就像他們想的那樣,「好吧,如果我們對 10,000 名訂閱者執行此規則,他們就會這樣做,因為他們不想失去 10,000 名訂閱者。」但如果我們強迫他們在沒有粉絲的情況下註冊時這樣做,他們可能會陷入困境而不會開設帳戶。 」對我來說這是荒謬的。
我們不應該將易用性置於安全性之上,在我們實施這項要求之前,我們仍然會看到人們極度擔心他們的社群媒體帳號或他們的任何帳號可能會受到損害。因此,請在提供 MFA 的地方啟用它。
3. 如果可能的話,完全避免使用密碼。
密碼遠非完美 – 幸運的是,有一種更現代、更安全的替代方案正在以越來越快的速度被採用。我們正在邁向無密碼社會,這是朝著正確方向邁出的一步。
這種替代方案是存取鍵,它們的優點在於它們消除了大多數人為錯誤。您無需輸入密碼,而是使用裝置或手機上儲存的安全金鑰(通常使用指紋)登入。在幕後,加密金鑰承擔著繁重的工作,但用戶看不到它 – 一切都很簡單。正是它們的簡單性改變了遊戲規則:它們消除了重複使用舊密碼或在熟悉的密碼末尾添加可預測數字的誘惑。
在某些方面,它們太簡單了。當我與人們交談時,他們對密碼持懷疑態度,因為它們看起來太簡單了。如果他們覺得這很容易,他們就會認為這對罪犯來說一定很容易。但事實並非如此——隱藏的技術比你需要的要努力得多。
萬能鑰匙還不是在所有地方都可用,而且仍然存在一些痛點,尤其是在您丟失設備的情況下。但總的來說,萬能鑰匙向前邁出了一大步,因為它們消除了安全中最古老和最薄弱的環節之一:密碼本身。
正如克里斯·斯托克爾-沃克所說
主題:
