「世界密碼日」:思科提倡無密碼令未來的數碼世界更安全
在數碼世界,人們的生活被密碼圍繞。例如,網上銀行、線上購物、數碼娛樂服務,都需要密碼設定。密碼有助減低黑客入侵的可能,尤如在單位內安裝大門一樣,避免訪客隨便進入。為防黑客透過網絡釣魚和詐騙偷取用戶密碼,入侵帳戶,現時越來越多的網絡服務需要更高級的密碼設定和密碼組合,並且需要定時更新,但這導致管理起來很煩瑣,用戶也很難把所有密碼都記住。思科2021年的調查就發現全球有51%用戶每星期會忘記或需要重設密碼,另外有57%為了避免自己忘記密碼,會在不同帳戶使用同一密碼。
5月5日是今年的「世界密碼日」,提醒我們要設立適當保障,免受身份被盜的風險和招至損失。密碼設定存在被竊取和利用的風險,Verizon數據指出密碼很容易被洩漏,有81%的密碼洩漏源於較弱的密碼設定或憑據被盜。為了免除用戶的煩惱,以及提供簡單安全的網絡安全控制,思科建議使用多因素認證(多因素身份验证,MFA),這是阻止密碼被盜的最有效機制。
「多因素認證」在登入過程中,要求來自至少兩個不同類別的媒介認證身份,過程簡單方便。當首次註冊「多因素認證」時,用戶只需跟從簡單步驟,從此便可以擺脫建立或背記密碼的枷鎖。在第一重認證,透過指定裝置註冊;在第二重認證,註冊生物認證,如指紋認證。在下一次登入時,必需同時核實已註冊的裝置和生物認證,便能以「多因素認證」登入,既省卻了管理密碼的煩瑣,亦同時提高了安全保護。
其它的「多因素認證」方法包括,使用多因素認證的應用程式,其推送通知響起,用戶只需輕按智能手機,即可驗證身份;此外,若果以手機訊息、電子郵件或電話方式進行裝置與個人身分的認證,使用者會實時收到認證通知。
“多因素認證”可將帳戶洩露的風險降低99.9%,但這也不代表萬無一失,因為總會有些意圖攻擊者嘗試突破防禦,盜取密碼。思科建議使用者留意以下五大方法,抵禦攻擊:
- 使用更強的因素認證:將身份認證方法規限為只使用應用程式的推送通知,触摸ID和/或安全密鑰(WebAuthn / U2F),有助大幅度減低一次性密碼(OTP)的攻擊面漏洞。
- 嚴格規管對存取裝置的信任:對存取資源的裝置狀態進行更嚴格的控制,有助限制或阻止來自非託管或未知裝置的存取,減少攻擊面。
- 選擇有提供風險檢測功能的供應商:用戶應該選擇能夠為每次安全事件提供深入解釋的技術供應商,讓管理員全面掌握事件前後的異樣,從而可以快速了解並修復風險。
- 用戶培訓:為用戶提供意識培訓,並通過模擬網絡釣魚攻擊來測試準備情況。
- 更新電郵安全工具:確保所有電郵網絡釣魚保護方案有效防止已知的攻擊方法,包括強大的DNS(域名系统)域名系統記錄,DMARC驗證(域的消息身份验证、报告和会议),動態反網絡釣魚過濾,DNS白名單,國家/地區阻截以及各種其他內容和預防控制。
電腦密碼大概自1960年代中期開始使用,要改變60多年前的習慣和文化並不是轉瞬之間便會發生的事。可喜的是,思科2021年的全球調查發現,69%受訪者表示,他們接受使用指紋代替密碼登錄。此外,78%受訪者坦言他們在日常生活中,至少有一個裝置已經啟用了生物辨識。
隨著網絡安全技術的更新與升級,密碼被竊將會成為過去,用戶也不需要再擔心忘記密碼的問題。同時,大家也不再需要複雜的密碼設定與繁瑣的密碼管理。讓我們從今天開始就實踐無密碼認證,讓「多因素認證」加強數碼世界的安全保障。
發表迴響