Cybersec Wednesday|了解重用密码的危险以及如何降低风险
使用各类电脑系统都离不开身份认证,而密码便是既传统又常用的认证方式。有稳妥密码政策的电脑系统,一般会要求用户设定有一定复杂性的密码,例如:
1) 必须至少包含英文字母大写、小写、数字和特殊字元其中三种;
2) 不包含用户名称;
3) 长度至少8个字元或以上等等。
要牢记既长又复杂的密码确实是一件烦恼的事。尤其是当你拥有多个系统户口时,为免忘记密码,很多人都会重用密码。然而,重用密码会提升安全风险。
多个户口被入侵
假如你多个网上银行户口的密码和多个网上系统密码相同,万一其中一个网上系统的密码因黑客入侵而外泄,那么你的网上银行户口便会有被盗用的风险了。
又例如你在机构系统使用的户口密码和你个人系统户口相同,那么你机构的系统和数据便有机会因为你个人系统不幸被入侵,而承受不必要的被入侵或资料外泄风险。
如何降低风险
1. 更改预设密码
为了方便启用,系统的预设密码往往是简短而且多为通用字眼,例如「password」、「admin」等等。因此,如无特别原因,应该尽早更改预设密码,以免被轻易破解。
2. 加强员工的网络安全意识
机构应该加强员工的网络安全意识,提醒员工保护密码,包括:
1) 避免使用机构系统密码于其他非机构的系统上;
2) 避免共用帐户密码;
3) 如果不想记住多个密码,可以考虑使用密码管理员;
4) 定期更改密码。
更多员工网络安全意识提示,可参考Cybersec Training Hub - 基本员工培训(https://cyberhub.hk/#/course/general-staff)。
3. 双重要素认证(2FA)
2FA在你登入系统时会要求你提供两种身份认证形式,例如输入密码和一次性短讯验证码。这样,即使密码被盗,仍有多一重认证保护。不过,大家也要确保相关的认证工具的安全,例如接收短讯的手机。如有遗失或被盗,应立即采用应急措施,例如通知机构的资讯保安人员,亦切勿轻易把验证码转发给别人。
密码和认证工具对网络安全至关重要。大家记紧要保持警觉,好好保护个人和机构私隐和财产。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
关于 Cybersec Wednesday
每逢星期三,HKIRC网络安全团队都会挑选一个网络安全主题,以文章、贴士或最佳实践的形式与大家分享。 请留意每周三的更新,定时掌握最新鲜的网络安全资讯。
