Cybersec Wednesday|了解重用密碼的危險以及如何降低風險
使用各類電腦系統都離不開身份認證,而密碼便是既傳統又常用的認證方式。有穩妥密碼政策的電腦系統,一般會要求用戶設定有一定複雜性的密碼,例如:
1) 必須至少包含英文字母大寫、小寫、數字和特殊字元其中三種;
2) 不包含用戶名稱;
3) 長度至少8個字元或以上等等。
要牢記既長又複雜的密碼確實是一件煩惱的事。尤其是當你擁有多個系統户口時,為免忘記密碼,很多人都會重用密碼。然而,重用密碼會提升安全風險。
多個户口被入侵
假如你多個網上銀行户口的密碼和多個網上系統密碼相同,萬一其中一個網上系統的密碼因黑客入侵而外洩,那麼你的網上銀行户口便會有被盗用的風險了。
又例如你在機構系統使用的户口密碼和你個人系統户口相同,那麼你機構的系統和數據便有機會因為你個人系統不幸被入侵,而承受不必要的被入侵或資料外泄風險。
如何降低風險
1. 更改預設密碼
為了方便啟用,系統的預設密碼往往是簡短而且多為通用字眼,例如「password」、「admin」等等。因此,如無特別原因,應該盡早更改預設密碼,以免被輕易破解。
2. 加強員工的網絡安全意識
機構應該加強員工的網絡安全意識,提醒員工保護密碼,包括:
1) 避免使用機構系統密碼於其他非機構的系統上;
2) 避免共用帳戶密碼;
3) 如果不想記住多個密碼,可以考慮使用密碼管理員;
4) 定期更改密碼。
更多員工網絡安全意識提示,可參考Cybersec Training Hub - 基本員工培訓(https://cyberhub.hk/#/course/general-staff)。
3. 雙重要素認證(2FA)
2FA在你登入系統時會要求你提供兩種身份認證形式,例如輸入密碼和一次性短訊驗證碼。這樣,即使密碼被盗,仍有多一重認證保護。不過,大家也要確保相關的認證工具的安全,例如接收短訊的手機。如有遺失或被盗,應立即採用應急措施,例如通知機構的資訊保安人員,亦切勿輕易把驗證碼轉發給别人。
密碼和認證工具對網絡安全至關重要。大家記緊要保持警覺,好好保護個人和機構私隱和財產。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
關於 Cybersec Wednesday
每逢星期三,HKIRC網絡安全團隊都會挑選一個網絡安全主題,以文章、貼士或最佳實踐的形式與大家分享。 請留意每週三的更新,定時掌握最新鮮的網絡安全資訊。
