為了保障網路上的資訊安全,密碼的關鍵性自然是重中之重。在過去,一旦發生資安事件時,許多網站或線上服務,都會要求使用者立即更改密碼,甚至設下無比複雜的密碼規則,只為了避免傷害進一步擴大。
但是,將密碼設得極其複雜,以及要求使用者頻繁、常態性的更換密碼,真的有助於保障個人帳號安全嗎?關於這點,我們或許得從另一個層面進行思考。
資料庫被攻陷,改密碼也沒用
事實上,多數涉及個人資料外流的大規模資安事件,遭到攻破的目標都不是個別或單一使用者,而是網站資料庫或服務提供商本身。由於業者在權限上的管理不當,或者軟、硬體部分出現弱點,才使駭客有機可趁。
換句話說,即便使用者已經做足一切資安防護措施,其實也阻擋不了儲存個人資訊的伺服器遭駭客攻陷,所以即便有著再複雜的密碼,也無法避免駭客從源頭下手。此外,許多業者要求立即更換密碼的行為,大多亦沒有實質意義,畢竟當機敏資料已經從伺服器外流,使用者即便想亡羊補牢,透過更換密碼來阻擋下次外洩,也改變不了先前資訊已經曝光的事實。
同時,駭客有著很高的可能性,在已經攻破的設備上植入後門,等待下次攻擊機會,再度提取資料,線上服務提供者若無法「清零」這些後門程式並補上漏洞,使用者若又於此時更換新密碼,等於是直接幫駭客打了一支新鑰匙。
更換密碼的意義在「損害管控」
既然如此,更換密碼的意義又是什麼呢?站在資安的角度,受駭後立刻更換密碼的行為,主要還是不希望讓災情波及到其他服務,尤其是為那些偏好選擇同一組密碼,暢行多個線上服務的使用者,及時做好損害控管。
因此,使用者在帳號密碼上較為良好的管理習慣,應該是有意識的讓不同的服務,各自擁有不同的密碼,而不是僅靠一、兩組密碼走天下,對於提供服務的網路業者也該採行不信任態度,事先預設他們的資料庫,總有一天會發生資安事件。
只不過,由於網路上的服務成千上萬,對於人類來說,若每一個服務都要記憶不同的密碼,同時適應嚴苛、複雜的密碼規則,對於腦袋而言是個很大的負擔,因此如 LastPass、1Password 這類的密碼管理器,其實就有著相當不錯的應用空間,若配合亂數密碼生成器使用,既可以減少思考的麻煩,也能夠使帳號的安全保障更上層樓,並且避免資安損害擴大。
沒有密碼就是最好的密碼
目前較主流的線上服務提供者,例如 Google、Facebook 與微軟,反而都意識到了最好的密碼其實是「沒有密碼」,他們選擇改以在使用者登入帳號時,發送訊息到用戶綁定的手機、平板等裝置,再一次進行確認登入的步驟,甚至於直接改採經由綁定裝置掃描 QR Code 之類的方式進行登入,完全拋棄帳號、密碼的概念。
假如所使用的服務還無法提供上述類似功能,那麼現代資安的最基本要求,就是使用者必須盡可能的開啟兩步驟認證(2FA,或雙因素認證)。無論是透過接收手機簡訊、撥打認定電話或輸入驗證器 App 所產生的 OTP 密碼,其實都能藉此大幅提升帳號安全,提供比超複雜密碼、經常更換密碼等更有用的保護措施。
加入電腦王Facebook粉絲團