防範密碼填充——12個最有效的貼士保護您及您的業務

2018年，密碼填充個案急增——事實上，Akamai在2018年錄得近300億次密碼填充攻擊——顯然此類網絡攻擊沒完沒了。在2019年5月24日，罪犯透過一次在知名圖像設計平台Canva上的密碼填充攻擊，獲取多達1.39億份資料。因此，重視網絡安全的企業必須防備密碼填充網絡攻擊。

密碼填充攻擊是一種暴力的網絡攻擊，達致在未經授權的情況下存取一個或多個用戶賬戶。罪犯利用自動化的系統，在網站登錄界面中輸入大量之前被洩露的用戶名和密碼，看它們是否能用於現有賬戶，然後劫持他們能夠登錄的任何賬戶。

通常對付密碼填充的最佳方法是防患於未然。

企業可以通過兩種主要方式防範密碼填充攻擊：對業務實施安全措施，及確保公司及其員工實施個人網絡安全措施。

每個員工應該：

1. 在不同網站的個別賬戶使用不同的密碼
   • 密碼管理器可以為此提供便利，因為用戶只需記住一個密碼（密碼管理器的主密碼）。許多密碼管理器還會自動產生高強度密碼。
     
     
   • Dashlane是其中一個密碼管理解決方案，由安達企業網絡風險管理（Cyber ERM）隨保單免費提供。
      
2. 盡可能使用多重認證（MFA）為賬戶提供保護
   • Facebook及Google等公司為用戶賬戶新增多重認證功能，因此以這些賬戶登入是安全的做法。
      
3. 避免使用公司電郵地址在網站註冊
   • 使用公司電郵地址會引起他人對公司不必要的關注，當賬戶被盜用時，更難以證明是員工還是黑客應為有關行為負責。

若所有員工均採取充分的安全防範措施，其驗證資料被盜的風險會大幅降低。倘若一個賬戶的驗證資料被盜，其造成的影響會僅限於該個別賬戶，因而損失亦會有所減少。實施以下主動性和被動性的公司網絡安全措施將進一步降低罪犯通過密碼填充攻擊入侵企業系統的可能性。

1. 採用多重認證系統。其中包括要求所有員工和顧客／客戶使用多重認證方式登入所有公司系統。
   
   
2. 進行評估以確定哪些是互聯網上可見的公司系統。這些可以進入公司系統的入口應進行密切監視。
   
   
3. 對所有聯網系統進行安全測試，包括虛擬私有網絡（VPNs）。
   
   
4. 使用散列函數(hashing) 保護所有儲存的密碼，防止洩露的資料透露任何實際的登入資料。
   
   
5. 監控洩露情況，其中包括：
   • 企業／員工的驗證信息被盜
     
     
   • 被盜的驗證信息被用於不正當地存取企業賬戶
      
6. 向用戶介紹適當的個人安全措施，如在不同的網站上使用不同的密碼等
   
   
7. 使用防火牆，以監視攻擊和識別漏洞。
   
   
8. 制定緊急應變計劃並經常預習，確保所有持份者熟悉其在洩露事故中的角色和職責。