复杂的密码规则?强制修改密码?这些措施对防范黑客不一定有帮助!

1.png

为了保障网络上的信息安全,密码的关键性自然是重中之重。在过去,一旦发生信息事件时,许多网站或线上服务,都会要求使用者立即更改密码,甚至设下无比复杂的密码规则,只为了避免伤害进一步扩大。

但是,将密码设得极其复杂,以及要求使用者频繁、常态性的更换密码,真的有助于保障个人帐号安全吗?关于这点,我们或许得从另一个层面进行思考。

数据库被攻陷,改密码也没用

事实上,多数涉及个人资料外流的大规模信息安全事件,遭到攻破的目标都不是个别或单一使用者,而是网站数据库或服务提供商本身。由于业者在权限上的管理不当,或者软、硬件部分出现弱点,才使黑客有机可趁。

换句话说,即便使用者已经做足一切信息安全防护措施,其实也阻挡不了储存个人资料的服务器遭黑客攻陷,所以即便有着再复杂的密码,也无法避免黑客从源头下手。此外,许多业者要求立即更换密码的行为,大多也没有实质意义,毕竟当机密资料已经从服务器外流,使用者即便想亡羊补牢,通过更换密码来阻挡下次外泄,也改变不了之前资料已经曝光的事实。

2.jpg

同时,黑客有着很高的可能性,在已经攻破的设备上植入后门,等待下次攻击机会,再度提取资料,服务器提供者若无法“清零”这些后门程序并补上漏洞,使用者若又于此时更换新密码,等于是直接帮黑客打了一支新钥匙。

更换密码的意义在“损害管控”

既然如此,更换密码的意义又是什么呢?站在资料安全的角度,受入侵后立刻更换密码的行为,主要还是不希望让灾情波及到其他服务,尤其是为那些偏好选择同一组密码,畅行多个线上服务的用户,及时做好损害控管。

因此,用户在帐号密码上较为良好的管理习惯,应该是有意识的让不同的服务,各自拥有不同的密码,而不是仅靠一、两组密码走天下,对于提供服务的网络业者也该采行不信任态度,事先预设他们的数据库,总有一天会发生信息安全事件。

1.jpg

只不过,由于网络上的服务成千上万,对于人类来说,如果每一个服务都要记忆不同的密码,同时适应严苛、复杂的密码规则,对于脑袋而言是个很大的负担,因此如 LastPass、1Password 这类的密码管理器,其实就有着相当不错的应用空间,若配合混合密码生成器使用,既可以减少思考的麻烦,也能够使帐号的安全保障更上层楼,并且避免资料安全损害扩大。

没有密码就是最好的密码

目前较主流的线上服务提供者,例如 Google、Facebook 与微软,反而都意识到了最好的密码其实是“没有密码”,他们选择改以在用户登入帐号时,发送信息到用户绑定的手机、平板等设备,再一次进行确认登入的步骤,甚至于直接改采用经过绑定谁被扫描 二维码之类的方式进行登入,完全抛弃帐号、密码的概念。

3.jpg

假如所使用的服务还无法提供上述类似功能,那么现在资料安全的最基本要求,就是使用者必须尽可能的开启两步骤认证(2FA,或双因素认证)。无论是通过接收手机短信、拨打认定电话或输入验证器 App 所产生的 OTP 密码,其实都能通过此大幅提升帐号安全,提供比超复杂密码、经常更换密码等更有用的保护措施。