電腦密碼防護 普遍薄弱
記者鍾翠玲/台北報導 29/04/2004
安全廠商RSA Security一項調查發現,電腦用戶所使用的密碼過於較簡單,而可能成為資訊安全的漏洞。
RSA Security日前公佈第二屆電子安全消費行為調查,結果顯示消費者雖然對電子交易信心不足,擔心身份被盜用的問題,但另一方面,大多數人仍然使用安全性較低的密碼防護。
RSA Security針對1,000多名美國消費者,就電子安全的警覺性、電子交易安全的信心以及採用防範身份被盜用與電腦攻擊的安全措施等多項問題進行調查。對於身份被盜用的問題,有約一半的人並不覺得今年比去年安全,更有人認為自己比2003年更不安全。
不過另一方面,使用者似乎並未因此提高安全防護。這份調查顯示,約三分之二的受訪者(63%)利用少於五個密碼,來登入不同的系統存取電子資訊,例如網站服務、電腦系統、自動櫃員機及其他電子服務;甚至有15%的人只使用一個密碼來存取所有系統。RSA報告指出,大部份人仍使用安全性低的密碼方法進行電子交易,此舉讓身份被盜用的機會大為提升。
這項報告是RSA Security在美國進行的調查,不過這家公司表示,密碼防護安全薄弱的情形同樣適用於台灣。
RSA Security台灣區技術顧問黃惠美指出,在台灣,許多企業因為實施了BS 7799的資訊管理制度,經常被要求更換密碼,造成使用者傾向使用過於簡單的密碼。她表示,為了應付經常更換密碼的需求,使用者可能會以很容易記住的密碼排列,如「1234」或「0123」等,反而讓密碼可能更容易被猜出。
她並指出另一個危機,使得所有靜態密碼防護喪失作用。黃惠美表示,挾帶鍵盤追蹤(keylogger)的病毒將會偷偷紀錄使用者所有密碼,並藉由病毒大量散佈出去。「在這種情況下,使用者再怎麼常更換密碼都沒有用。」
她並指出,一次性密碼(one-time password)可能是較安全的防護。黃惠美指出,由於一次性密碼只使用一次,即使被駭客得知也沒有關係。RSA Security即為一次性密碼解決方案供應商之一。
目前國內已有許多金融業,如銀行正在導入藉由令牌(token)與認證伺服器組成的雙因素認證(two-factor authentication),或利用簡訊將一次性密碼傳到使用者行動電話,提供消費者登入網路銀行使用。
fr.: http://taiwan.cnet.com/news/software/0,2000064574,20089201,00.htm
0 Comments:
Post a Comment
<< Home