英國《衛報》(The Guardian)報導,網路安全專家指出,許多人為了方便記憶,會重複使用相同的密碼,或是在舊密碼後面加上數字、符號等簡單變化,這都形同是為駭客敞開大門。這種行為正是駭客入侵帳戶的常見手法。
所謂的「白帽」駭客(white hat hacker),資安專家穆塔(Brandyn Murtagh) 說明,駭客透過入侵如 Dropbox、Tumblr 等網站,早已取得大量外洩的帳號密碼。他們會利用一種稱為「撞庫攻擊」(credential stuffing)的手法,用這些外洩的密碼去嘗試登入其他網站,看看能否成功。
更進階的手法,是他們不僅會使用外洩的原始密碼,還會利用程式去測試各種衍生出的密碼組合。
根據維珍媒體 O2 研究顯示,高達五分之四的人在不同的帳戶上使用相同或幾乎一樣的密碼。
穆塔舉例,你可能一個帳號用「Guardian」,另一個帳號用「Guardian1」,這種看似不同的密碼,對駭客而言幾乎是形同虛設。
Murtagh 與維珍媒體 O2 合作進行了一項實驗,讓志願者提供自己的電子郵件地址。
結果顯示,駭客可以輕易地在幾分鐘內追蹤到他們的密碼。維珍媒體 O2 的發言人表示:「人類行為模式很容易被預測。駭客知道你可能會用一個密碼,然後在結尾加上一個句號或驚嘆號。」
Murtagh 解釋,駭客會使用自動化程式(scripts)來嘗試各種密碼組合,這是一種大規模的攻擊,就像企業經營一樣。
駭客鎖定的目標通常不是單一的個人,而是數千人的群組。當你發現有人試圖更改你帳戶的電子郵件地址或其他資訊時,就可能代表你的帳號已經被駭客鎖定了。
穆塔建議,立即更改所有重複使用或衍生出的密碼。
特別是銀行、電子郵件、工作和手機這四類最重要的帳戶,應該優先處理。
使用密碼管理器:許多瀏覽器都內建密碼管理功能,例如 Apple 的 iCloud 鑰匙圈和 Android 的 Google 密碼管理工具,它們可以幫助你生成並儲存複雜的密碼,避免記憶困擾。
開啟雙重或多重驗證(2FA/MFA):這會讓你在登入網站時多一道驗證步驟,即使駭客知道你的密碼,也無法輕易登入你的帳戶,大大提升帳戶的安全性。