为什么你不应该在网上到处使用相同的密码

作者
Tweet
Share
Share
Pin
0 Shares

密碼幾乎無處不在,它們如同守護神,確保只有我們(或我們授權的人)才能存取個人資訊和財產,不論是銀行存款還是社交媒體帳號。然而,我們常常掉以輕心,為了方便記憶,在多個地方使用相同的密碼。

雖然許多應用程式和服務的安全性已大幅提升,駭客的技術也與日俱進。在所有地方使用同一密碼,會使您成為網路攻擊的主要目標,這種做法還潛藏其他不易察覺的風險。

以下列出幾個您在選擇密碼時應更加謹慎的原因。

1. 撞庫攻擊

許多人都有在多處使用相同密碼的習慣,您並非個例。根據 NordPass網站的數據,許多人使用容易猜測的密碼,例如”guest”和”password”。這種做法非常危險,因為這些看似簡單的密碼很容易被破解。

若您在所有帳號上都使用這種弱密碼,您將成為撞庫攻擊的完美目標。這是一種網路攻擊,透過將大量遭竊的密碼或使用者名稱輸入數千個網站來進行嘗試。如果您的重複使用密碼在資料外洩事件中曝光,您的多個帳戶都可能陷入危機。

2. 將您的公司帳戶置於風險之中

2012年,Dropbox遭受資料外洩,影響了6900萬名使用者。根據《衛報》報導,此次外洩事件起因於Dropbox員工重複使用了先前在LinkedIn上使用的密碼。當他的LinkedIn帳號遭到駭客入侵時,駭客也得以進入Dropbox的公司網路。

這意味著,如果您重複使用公司帳戶的密碼,您自己和公司都將面臨極大的風險。這也是許多科技公司現在使用密碼管理器的原因。密碼管理器允許您儲存和產生安全密碼。

透過將您的員工或承包商添加到密碼管理器,他們可以存取其密碼儲存在管理器應用程式中的所有帳戶,簡化他們的登入流程,並且完全無需與他們分享密碼。

重複使用甚至是相似的密碼都是弱密碼,不夠獨特且容易被預測。駭客可以使用人工智慧工具輕鬆破解這些密碼。即使是免費版本的ChatGPT,也可以用來集思廣益找出這類密碼:

如果上述提示太簡單而無法猜出您的密碼,駭客可能會繞過ChatGPT的限制,嘗試提出更個人化的提示來猜測您的密碼。

例如,我寫了一個提示,虛構了一個關於Adam的故事(如有雷同,純屬巧合),駭客正試圖入侵他的Facebook帳戶:

以下是ChatGPT如何輕鬆得出此人可能使用的密碼列表:

其中一些密碼看似隨意,但我們實際上傾向於設定容易記住的密碼(通常與我們最關心的人和事有關)。因此,駭客對我們了解越多(考慮到我們將所有內容都放在社交媒體上,這並不難),他們成功猜出我們密碼的機會就越大。

而先進的人工智慧密碼破解工具則更上一層樓。他們透過使用資料外洩事件中發現的字詞或密碼變體,來測試常見的密碼。

如果您使用像”qwerty”這樣的密碼,密碼破解工具只需不到一秒即可破解。添加數字並將其更改為”qwerty12345″並不會增加破解難度。許多工具都會搜尋模式,而在常見短語前面加上明顯的數字是最普遍的模式。

4. 分享密碼會使您更容易受到攻擊

重複使用密碼是一種不好的習慣,但分享這些重複使用的密碼更糟糕。無論您分享密碼的人多麼值得信任,您都無法預料資料外洩或網路攻擊的發生。如果與您分享帳號資訊的人的裝置被入侵或遭竊,您的帳號將面臨更大的風險。

一旦駭客取得裝置的存取權,每個帳號和資料都將任其取用。舉例來說,假設您與某人共享Netflix帳號,如果他們的筆記型電腦被駭客入侵或遭竊,並且有人進入該Netflix帳號,您的信用卡資訊將立即面臨風險。

因此,首先,請使用難以猜測的強密碼。其次,使用雙重驗證或密碼管理器與朋友和家人安全分享密碼,將風險降到最低。

5. 社會工程攻擊

社會工程是指操縱人們以竊取其個人資訊的行為。這並非真正的技術技巧,而是一種心理遊戲。網路釣魚連結是最常見的例子。

它不再像網路釣魚連結那樣,將您導向偽造的Facebook或Instagram登入頁面。駭客會偽裝成朋友、同事或值得信賴的組織,讓您點擊會危及您帳號的連結。

因此,駭客可能會要求您註冊他們的新創服務,只是為了查看您使用的密碼。在某些情況下,他們可能會透過您朋友被盜的帳號與您聯絡—我們大多數人在打開朋友的連結時都不會過多思考,因此這是一個容易設置的陷阱。

由於您很可能重複使用其他地方的密碼來註冊該服務,因此他們會嘗試對他們所知曉的您所有帳號使用該密碼。如果您的銀行應用程式使用相同的密碼,您可能會惹上麻煩。

即使不是每次,這種技術在大多數情況下都有效。

6. 內部攻擊的風險增加

在任何地方重複使用相同的密碼,可能會增加內部攻擊的風險。假設一名知道密碼的員工離開了您的組織。如果密碼沒有更改,前員工仍然可以輕易存取您的所有敏感資料。

如果內部人員知道到處使用的密碼,那麼您的所有應用程式和服務都會立即面臨風險。他們可以使用這些憑證進行詐欺活動、利用漏洞或損害電腦系統。這些人還可以假冒員工,並操縱同事分享機密資訊。

同樣地,如果在多個網站上使用相同的密碼,那麼當發生任何不必要或惡意的活動時,將很難查明內部人員。您可以透過實施強大的安全措施來降低內部攻擊的風險。一個好的起點是為所有員工提供客製化的憑證。

密碼要有創意、保密且嚴格

無論您採取什麼其他安全措施,如果您在不同平台上重複使用相同的密碼,您的網路形象將始終面臨風險。當然,重複使用的密碼更容易記住,但如果您的帳號遭到駭客入侵,您會後悔貪圖這種便利。

幸運的是,未來您可能根本不需要使用密碼。Apple PassKeys等服務使用FaceID或TouchID等生物識別身份驗證來登入帳戶。這消除了對密碼的需求,因為該服務使用加密金鑰。隨著其他公司開始採用這種方式,密碼可能將成為歷史。