5月7日「世界密碼日」(World Password Day) 即將到來,Sophos 特別發布專家評論,提醒大眾與企業:儘管科技巨頭極力推廣更安全的驗證方式,但「密碼漏洞」依然是駭客最常利用的入侵途徑。
Sophos 美洲區副資深資訊安全長 Jeramy Kopacko 指出,根據去年的觀察,身分驗證憑證遭盜用仍是身分相關攻擊中最常見的根本原因。
駭客最愛的「簡單目標」:弱密碼與重複使用的密碼
Kopacko 表示,駭客常利用一般大眾常用的熱門網站或 App 所流出的密碼進行攻擊。這對攻擊者而言是成功率極高的簡單目標,他們可以藉此進行大規模的「噴灑式攻擊」(Spray and Pray),或針對個人建立密碼歷史字典。
年度密碼外洩分析顯示,使用者的習慣存在兩大致命傷:
- 密碼過於簡單:缺乏複雜度或長度不足。
- 密碼重複使用:在多個網站與服務中使用同一組密碼。
資安新標準:長度重於複雜度
值得注意的是,美國國家標準暨技術研究院 (NIST) 已更新指南,強調「長度勝過複雜度」。新標準建議使用 15 個字元以上的長密碼 (Passphrases),而非糾結於特殊符號的組合;同時,NIST 也取消了「強制定期更改密碼」的要求。
Sophos 在世界密碼日給消費者的行動建議
- 啟用密碼管理員 (Password Manager):消費者應利用這一天為自己或親友設定密碼管理員。
- 自動化管理:密碼管理員能自動產生唯一的長密碼、安全保存,並確保只有在正確的網站上才會輸入憑證。
- 即時監控:它能掃描最新的外洩事件,提醒使用者是否受到影響。
給專業人士 (企業) 的行動建議
- 檢討身分驗證策略:專業資安人員應評估組織內部的驗證需求。
- 推動 Passkey (通行密鑰):評估如何轉向以 Passkey 為基礎的驗證模式。這不僅能大幅降低身分遭冒用的風險,還能優化員工的登入體驗。
Jeramy Kopacko 提醒,「儘管 Apple、Google、Microsoft、CISA 與 Sophos 都在推動更強的驗證方法,但舊有的密碼壞習慣依然是資安防線上的最大破洞。」