透過破解密碼攻擊時使用的密碼,我們可以學到一些重要的教訓。根據思科Talos公布的密碼清單,許多使用者仍然使用一些最常見和簡單的密碼,如"Password"、"Passw0rd"和"123456"等。這些密碼不僅極易被猜到,也反映出使用者對密碼安全意識的缺乏。
有些密碼組合看似複雜,卻也存在一些疏漏。例如"Mart1x21"可能是某人的名字,或涉及月份,而"Spring2024x21"和"April2024x21"則只是在普通年月日後加入幾個額外字元,這種做法幾乎無法增加密碼強度。可以想見,如果攻擊者已經猜到使用者的基本資訊,要破解這類密碼並不困難。
事實上,隨著科技進步,純文字密碼已經無法滿足當代安全需求。不少專家提出了更安全的替代方案,例如採用無密碼登錄,直接免除密碼風險;或是強制要求製造商實施更嚴格的密碼規則,禁止使用預設和易猜的密碼組合。英國政府更是立法要求相關企業必須遵守產品安全及電信基礎設施法規,強化密碼安全標準。
總的來說,密碼問題已經成為網路安全的一大痛點。縱使企業採取多重防護措施,仍無法完全防範使用者本身選擇簡陋密碼的風險。因此,除了加強使用者教育之外,實施更嚴格的密碼規範、推廣雙因素或無密碼驗證機制,才是解決這個困境的根本之道。
事實上,弱密碼影嚴重程度可從企業安全事件指數窺知一二。根據思科Talos最新統計,在2024年第一季企業駭客事件中,商業電子郵件入侵(BEC)攻擊高居榜首,占46%的案件。而BEC通常會利用釣魚郵件來竊取金錢或散佈惡意程式,侵入企業電子郵件系統恰恰突顯了密碼問題的嚴重性。
總而言之,密碼仍是網路世界中無可避免的脆弱點。攻擊者依然在嘗試暴力破解各種密碼組合,而企業及個人使用者也應提高警覺,制定更嚴格的密碼政策,並採取多重身份驗證等保護措施,才能真正遏止密碼問題,提高網路安全防線。
詳情請看:
What can we learn from the passwords used in brute-force attacks?