2018年,密碼填充個案急增——事實上,Akamai在2018年錄得近300億次密碼填充攻擊——顯然此類網絡攻擊沒完沒了。在2019年5月24日,罪犯透過一次在知名圖像設計平台Canva上的密碼填充攻擊,獲取多達1.39億份資料。因此,重視網絡安全的企業必須防備密碼填充網絡攻擊。
什麼是密碼填充?
密碼填充攻擊是一種暴力的網絡攻擊,達致在未經授權的情況下存取一個或多個用戶賬戶。罪犯利用自動化的系統,在網站登錄界面中輸入大量之前被洩露的用戶名和密碼,看它們是否能用於現有賬戶,然後劫持他們能夠登錄的任何賬戶。
通常對付密碼填充的最佳方法是防患於未然。
如何防範密碼填充
企業可以通過兩種主要方式防範密碼填充攻擊:對業務實施安全措施,及確保公司及其員工實施個人網絡安全措施。
個人網絡安全措施
每個員工應該:
- 在不同網站的個別賬戶使用不同的密碼
- 密碼管理器可以為此提供便利,因為用戶只需記住一個密碼(密碼管理器的主密碼)。許多密碼管理器還會自動產生高強度密碼。
- Dashlane是其中一個密碼管理解決方案,由安達企業網絡風險管理(Cyber ERM)隨保單免費提供。
- 盡可能使用多重認證(MFA)為賬戶提供保護
- Facebook及Google等公司為用戶賬戶新增多重認證功能,因此以這些賬戶登入是安全的做法。
- 避免使用公司電郵地址在網站註冊
- 使用公司電郵地址會引起他人對公司不必要的關注,當賬戶被盜用時,更難以證明是員工還是黑客應為有關行為負責。
公司的網絡安全措施
若所有員工均採取充分的安全防範措施,其驗證資料被盜的風險會大幅降低。倘若一個賬戶的驗證資料被盜,其造成的影響會僅限於該個別賬戶,因而損失亦會有所減少。實施以下主動性和被動性的公司網絡安全措施將進一步降低罪犯通過密碼填充攻擊入侵企業系統的可能性。
- 採用多重認證系統。其中包括要求所有員工和顧客/客戶使用多重認證方式登入所有公司系統。
- 進行評估以確定哪些是互聯網上可見的公司系統。這些可以進入公司系統的入口應進行密切監視。
- 對所有聯網系統進行安全測試,包括虛擬私有網絡(VPNs)。
- 使用散列函數(hashing) 保護所有儲存的密碼,防止洩露的資料透露任何實際的登入資料。
- 監控洩露情況,其中包括:
- 企業/員工的驗證信息被盜
- 被盜的驗證信息被用於不正當地存取企業賬戶
- 向用戶介紹適當的個人安全措施,如在不同的網站上使用不同的密碼等
- 使用防火牆,以監視攻擊和識別漏洞。
- 制定緊急應變計劃並經常預習,確保所有持份者熟悉其在洩露事故中的角色和職責。
本文章的所有內容僅用於說明,並非作為保險產品的邀約或招攬用,亦非私人建議或向任何個人或公司推薦任何產品或服務。您應細閱保單包括所有附件,以全面了解保障範圍。安達保險並無義務提供任何減輕損失的服務。保單持有人沒有義務與任何安達保險預先批准的服務供應商約定任何服務。保單持有人選用任何服務供應商,均是其自行作出的獨立決定。安達保險不是任何服務供應商與保單持有人之間達成的任何協議之一方。保單持有人清楚明白,服務供應商是獨立的承辦商,而非安達保險的代理。對於服務供應商提供的任何服務,安達保險概不負責,亦不承擔任何法律責任。在任何免費試用期內,因服務供應商的入門網站出現用戶接入延遲或服務供應商服務延誤所產生的任何責任,安達保險不概負責。安達保險無權享有於服務供應商與保單持有人訂立的任何協議中載述的權利、義務或責任,亦毋須承擔或負責。對有關協議的任何權利及義務(包括但不限於付款、費用及所提供服務)均僅歸由該服務供應商與保單持有人享有及承擔,而非由安達保險享有或承擔。安達保險或其僱員或其代理概不就任何服務供應商的表現(包括任何已收貨物或服務)作出任何保證或承擔任何責任。安達保險並不認可任何服務供應商或其服務。保單持有人在與任何服務供應商合作之前,應自行就服務供應商進行評估,以確保該公司及其服務符合保單持有人的需求。