「叮咚!請於 3 分鐘之內輸入以下號碼以便登入您的帳戶!」目前多數線上金融服務均已開啟雙重驗證,也就是除了使用者所知帳號密碼以外,還需要另外 1 項驗證手續,例如透過使用者所擁有的手機進行第二道驗證。只是除了攸關切身利益以外的帳戶登入作業,許多人害怕麻煩均不開啟雙重驗證或是多重要素驗證。
Microsoft 微軟於美國加州舊金山舉辦的 RSA 2020 會議當中,揭露自家帳號「極大多數」被惡意侵入的原因,99.9% 以上都是因為帳戶沒有使用多重要素驗證,其中光是 2020 年 1 月就有超過 120 萬的帳戶被駭入,而每天追蹤超過 3 千萬的帳戶活動當中,約有 0.5% 比例被盜用。
雖然各個領域的資訊安全專家,早已強調密碼強度的重要性,但仍有不少的使用者使用相當容易被猜到的密碼。Microsoft 表示被駭的帳戶當中,大約 40% 均透過 Password Spray 攻擊手法達成。Password Spray 攻擊手法相當簡單,就是利用現有的軟體工具,不斷地利用常見密碼表嘗試登入某組帳號。
由於人性的緣故,無法記住過多的強式密碼,不同服務類型帳號均使用同一密碼,公司、個人帳號密碼也經常混用,讓 Password Replay 攻擊手法應運而生。Password Replay 透過某家公司被駭而流出的使用者帳號資訊資料庫,使用同一密碼嘗試登入其它家不同的服務,同樣約佔 Microsoft 統計被駭帳戶的 40%。
多重要素驗證主要透過使用者所知(帳戶名稱、密碼、與個人相關的字串……)、使用者所有(手機、USB 密碼鎖、Smart Card……)、個人生物資訊(虹膜、指紋、聲紋、靜脈圖騰……),同時結合 2 種以上的要素確認使用者身分,方得登入使用服務,但多數人覺得麻煩,若非金融作業或是強制性要求,很多人依舊僅仰賴傳統的帳號、密碼登入方式。
雖然 Microsoft 公布這份調查的主要目的,在於建議使用服務的各家公司,能夠關閉傳統驗證協定,逐步走向多重因素驗證,關閉傳統驗證之後,被駭情況能夠下降 67%。不過我們也可以延伸至其它許多線上服務,若是該服務提供雙重甚至是多重因素驗證,建議使用者盡早開啟使用,保護自己的安全隱私。
資料來源
Breaking Password Dependencies: Challenges in the Final Mile at Microsoft
你知道 PCADV 電腦王也有 Telegram 頻道嗎?
加入電腦王Facebook粉絲團