【零壹易悟】如何避開「黑客密碼字典」？

沒有「不重要」的帳戶

今時今日實在太多事情要網上處理，牽涉個人私隱資料的亦越來頻煩，當中更包括極敏感個人資料例如財務、稅務、健康資訊甚至個人證件等，引申出的登入帳戶數以百計，管理帳戶及密碼已經成為生活的一部份，有效率及安全的管理成為現代人須知，但太多人卻不以為意。知名的VPN服務商Nordpass較早前公佈全球最常見最不安全密碼，「123456」蟬聯冠軍，使用次數超過一億。鍵盤上一些相鄰的字符及其組合例如qwerty、qwerty123、1q2w3e等皆榜上有名。這些密碼組合不用1秒便可破解，毫無安全性可言。看完這堆密碼怕且讀者會失笑，但竟然仍有大量人使用，證明太多人對資訊安全萬不經意。不要以為一個只收取旅遊資訊的帳戶可用一個簡單的密碼，洩漏無傷大雅，實情是不法之徒志不在你帳戶上的資料，而是在你已建立信任的資料上騙取你更多資訊。例如你對某地旅遊資訊有興趣而登記了一個網站，忽然有一天你收到一個看似是該網站發出的連結，上面正正就是你有興趣的資料，你極可能不以為意而按下連結，若你没有安裝防毒軟件，騙徒便得手。

破解密碼有「字典」

Nordpass的清單固然有趣，但值得關注的是背後的研究基礎及引申的結果。為何Nordpass有巨量資料可作分析?這裏牽涉網站如何儲存密碼，問題極之複雜且絕大多數人沒有留意。高安全級別的網站根本不會儲存任何密碼，沒有任何資料可以洩漏。當網站將新舊密碼儲存，若儲存不當或出現安全漏洞，密碼就有外洩的風險。以往出現外洩屢見不鮮，名單包括大型電郵、信用卡、支付平台等。一些非主流網站投入資訊安全的資源較少，容易出現安全漏洞，更不排除一些信譽較差的網站甚至出售資料。再有就是企業「內鬼」擁有足夠權限的直接讀取資料。19年就有報道指Facebook以純文字儲存密碼於內部伺服器，部份員工可讀。當密碼不斷外洩，形成大數據，分析這些大數據得出各種慣用密碼的名單，或密碼組成的演化方式，例如利用字典上的字後加數字組合，又簡單符號或數字轉換，帳號名稱加符號等，就可製成黑客字典(Hackers Dictionary)，最終演化成破解密碼的常用工具。有了GPU的超級電腦及雲端運算，今天一個八位字母及數字組合的密碼，利用「暴力方式」(即嘗試所有組合)破解並不困難，高速運算加上黑客字典令破解密碼工具與虎添翼。極權國家控制一切資訊，對密碼組合可作深入分析，甚至可將密碼與個人其他資訊聯繫找出特性，威脅不容忽視。

建立清單將風險分類

面對上述威脅，用家就必須管理好帳戶及密碼。首先是建立一個所有帳戶及密碼的清單。筆者早前就花了不少精力整理出一張清單，帳戶數以百計，筆者亦感到驚訝。在製作清單期間必須注意資訊安全，儘量縮短製作時間及將資料儲存在加密硬碟中，且要備份。仔細檢視清單上的每個帳戶，並以高中低風險分類，在可能的情況下刪去個人資料，同時刪除不必要的帳戶。高風險的帳戶例如電郵或雲端儲存等，你一定要了解服務提供者處理密碼的政策，若有選擇，應選Zero Knowledge的服務提供者，即密碼就是解密鎖匙，提供者沒有儲存之餘亦無法解密任何儲存的資料。帳戶的名稱不應有識別資料，讓不法之徒可推論帳戶名稱或從帳戶名稱推測用家身份。高風險帳戶的密碼應最少是12個位，由大小字母數字及符號組合而成。任何移動裝置應使用密碼而避免使用PIN或圖案。「反送中」時已有報道被捕人士的iPhone使用PlN碼被警方破解。不論高中低風險帳戶，任何密碼皆不能重複使用，因為當你有一個帳戶密碼失竊，竊取者有可能已收集了你其他的帳戶資料，並針對性利用失竊密碼嘗試登入。現時大部份金融相關電郵社交網站等均提供雙重認證，應馬上啟用，並利用不同裝置獲取雙重認證編碼。若有選擇，應選用按時改變的認證編碼，避免使用電郵或SMS。使用瀏覽器登入任何帳戶前請確保連線是以https加密。應避免使用任何公眾連線登入任何帳戶。帳戶使用完畢應立即登出，避免留著登入段落而增加帳戶外洩風險。

管理帳戶及密碼已成為現代人的新痛點。有否一些工具可以協助管理帳戶及密碼?答案是有，但必須小心選擇及適當使用，下回續談。◇