駭客入侵不再麻煩，弱密碼成資安缺口！

2012 / 02 / 24

本篇文章內容由廠商提供,不代表資安人科技網觀點

許多企業在內部網路、外部員工、合作伙伴的網路服務，都提供了單一登入認證服務 (Single Sign On)，這樣的登入服務可便利使用者在使用各種不同服務時，不必多次輸入密碼，而密碼也可以使用同一組，以便利記憶。然而，這樣的便利性卻帶來了一層隱憂。

儘管企業佈建的防火牆、入侵檢測系統再綿密，電子郵件仍是幾乎所有企業都會使用的重要溝通管道，而電子郵件的密碼，通常也是許多單一登入認證服務的密碼。在中華數位科技推出電子郵件密碼強度檢測服務之後發現，以常用密碼字典檔，如：123456、…等進行檢測，受測客戶中有87%以上都存在弱密碼的問題。而使用弱密碼的企業帳號比例，平均約佔企業所有帳號數目的6.03%，而且平均不到1小時，就可以猜中一個使用不安全密碼的帳號，並可透過此帳號使用企業內部的服務竊看此帳號的私密內容。更甚者，在該帳號的郵件、相關資料被查閱後，可推敲出此帳號擁有者的身份及其相關的人際脈絡網，有心的駭客便可利用此帳號發動進階持續性滲透攻擊(Advanced Persistent Threat, APT)，或利用此帳號下單買賣，進行商務詐騙。

在ISO27001資訊安全管理最佳實務中提到，可藉由密碼方式以保護資訊的機密性、鑑別性與完整性，而基於風險評鑑時，則需要考量所需加密演算法的型式、強度及品質，定期變更密碼的要求，也是企業在設計密碼安全保護政策中不可或缺的，然而實作後，對於密碼設定或變更後的強度驗證，卻是容易被忽視的一環。為協助企業達成完美資安防護的最後一哩，現提供客戶電子郵件密碼強度檢測服務，並將在中華數位科技相關產品發表定期密碼強度檢測功能，協助減低系統人員的負擔，並可有效提高企業資安防護強度。弱密碼檢測服務洽詢：02-25422526。

ISO27001 密碼資安駭客