名家筆陣：網上理財應如何防盜？

黑客攻擊手段多

黑客們針對密碼的攻擊通常有下列各種：

蠻力攻擊（Brute Force Attack）──蠻力攻擊很簡單，就是靠「撞」。黑客嘗試不同組合的密碼去試。如密碼夠長，要猜中正確的密碼並不容易，需要很長的時間。但通常人會選擇易記的密碼，所以黑客會選一些人們常用的密碼和字典有的單字，這樣大大提高了「撞」中的機會。根據SplashData，最常用的密碼有123456、password、123456789等。如果你有用這些密碼，建議你立即更改。

密碼噴射（Password Spraying）──蠻力攻擊是針對一個戶口試不同的密碼，噴射攻擊是對很多不同的戶口試一個密碼。這種攻擊通常比蠻力攻擊更有效，因為它將攻擊分散在不同的戶口，比蠻力攻擊更難察覺。

帳密填充或稱撞庫攻擊（Credential Stuffing）──如果密碼夠複雜，上述兩種攻擊成功的機會是近乎零的。但正如上述我們都擁有多個帳戶，為方便記憶我們很多時都會在不同的網站或系統，用同一個帳戶名稱和密碼。當其中一個網站或系統，被黑客攻破，偷取了其中的帳戶資料包括密碼時，黑客就會用這些帳戶，嘗試登入其他網站或系統。例如在二○一二年LinkedIn被黑客入侵，被盜了650萬個帳戶。如果你是其中一個帳戶，而你的Facebook帳戶名稱和密碼，是和LinkedIn一樣的，黑客就可以入侵你的Facebook帳戶。

揀密碼須夠獨特

想知道自己的帳戶有沒有曾經被黑客盜取，或選用的密碼有沒有出現在過去的密碼盜取事件，可以到這個網站查看: https://haveibeenpwned.com。

要避免帳戶被盜取，首先要選一個足夠複雜的密碼，有一定的隨機性和獨特性。一些看似安全的密碼如P@ssw0rd或5tgbNHY^7ujm，其實都不是你想像中安全。前者是很多人常用的字母替換，後者是鍵盤的排列模式，都是黑客常用來猜密碼的。

其次是使用雙重認證。雙重認證是除了密碼外須要多一重認證，例如經SMS或電郵傳送的一次性密碼。另外，在不同網站，應選用不同密碼，實際執行上這有點困難，因為有太多的密碼要記；然而，可以用一些密碼管理工具，記下不同網站的密碼，而用一個主密碼去保護其他密碼。

展望將來，我們會逐漸以其他認證方式取代密碼，例如一些生物特徵。Windows 10的Hello，iPhone的TouchID和FaceID也逐漸普及。再進一步，系統可透過用家的行為特徵，例如登入的裝置、地點、時間、速度等，來進行認證。

葉曼春

香港電腦學會網絡安全專家小組執行委員會成員

作者：葉曼春