名家筆陣:網上理財應如何防盜?

現時在網上進行購物和銀行理財,已是市民日常生活的一部分,而電子支付、融資及保險等金融科技服務亦漸成趨勢,市民的網上帳戶安全備受關注。與此同時,我們都擁有很多網上帳戶,擁有十多個、甚至幾十個帳戶毫不出奇,保護這些帳戶現在多靠密碼,但我們有沒有想過這些密碼有多安全呢?

黑客攻擊手段多

黑客們針對密碼的攻擊通常有下列各種:

蠻力攻擊(Brute Force Attack)──蠻力攻擊很簡單,就是靠「撞」。黑客嘗試不同組合的密碼去試。如密碼夠長,要猜中正確的密碼並不容易,需要很長的時間。但通常人會選擇易記的密碼,所以黑客會選一些人們常用的密碼和字典有的單字,這樣大大提高了「撞」中的機會。根據SplashData,最常用的密碼有123456、password、123456789等。如果你有用這些密碼,建議你立即更改。

密碼噴射(Password Spraying)──蠻力攻擊是針對一個戶口試不同的密碼,噴射攻擊是對很多不同的戶口試一個密碼。這種攻擊通常比蠻力攻擊更有效,因為它將攻擊分散在不同的戶口,比蠻力攻擊更難察覺。

帳密填充或稱撞庫攻擊(Credential Stuffing)──如果密碼夠複雜,上述兩種攻擊成功的機會是近乎零的。但正如上述我們都擁有多個帳戶,為方便記憶我們很多時都會在不同的網站或系統,用同一個帳戶名稱和密碼。當其中一個網站或系統,被黑客攻破,偷取了其中的帳戶資料包括密碼時,黑客就會用這些帳戶,嘗試登入其他網站或系統。例如在二○一二年LinkedIn被黑客入侵,被盜了650萬個帳戶。如果你是其中一個帳戶,而你的Facebook帳戶名稱和密碼,是和LinkedIn一樣的,黑客就可以入侵你的Facebook帳戶。

揀密碼須夠獨特

想知道自己的帳戶有沒有曾經被黑客盜取,或選用的密碼有沒有出現在過去的密碼盜取事件,可以到這個網站查看: https://haveibeenpwned.com。

要避免帳戶被盜取,首先要選一個足夠複雜的密碼,有一定的隨機性和獨特性。一些看似安全的密碼如P@ssw0rd或5tgbNHY^7ujm,其實都不是你想像中安全。前者是很多人常用的字母替換,後者是鍵盤的排列模式,都是黑客常用來猜密碼的。

其次是使用雙重認證。雙重認證是除了密碼外須要多一重認證,例如經SMS或電郵傳送的一次性密碼。另外,在不同網站,應選用不同密碼,實際執行上這有點困難,因為有太多的密碼要記;然而,可以用一些密碼管理工具,記下不同網站的密碼,而用一個主密碼去保護其他密碼。

展望將來,我們會逐漸以其他認證方式取代密碼,例如一些生物特徵。Windows 10的Hello,iPhone的TouchID和FaceID也逐漸普及。再進一步,系統可透過用家的行為特徵,例如登入的裝置、地點、時間、速度等,來進行認證。

葉曼春

香港電腦學會網絡安全專家小組執行委員會成員

作者:葉曼春