危險的密碼比比皆是，愈簡單的密碼，如生日日期、超級英雄的名字、連續的數字等，愈容易遭撞破。但人類的確總是重複犯錯，仍舊貪一時之快，以最簡單的方法設定密碼，甚至將「Password」本尊設為密碼。早前「Password」又肇禍，黑客藉此入侵伺服器竊取數據，並向受害者發出 1,500 萬美元的贖金要求。 今次的受害者是 TransUnion 的南非分部，手持超過 2,400 萬南非居民的信用資料。攻擊者是一個自稱叫 N4ughtysecTU 的巴西組織， 該組織的代表向 Bleeping Computer 表示，他們用簡單的字典攻擊（dictionary attack），粗暴爆破獲得 TransUnion South Africa 伺服器的訪問權限。伺服器上一個帳戶用「Password」作密碼，黑客使用密碼爆破工具，只需約一秒鐘的時間便猜測出來。 而…

COVID-19、外交新秩序、WFH……來到 12 月，想不到 2020 年在人類大歷史上會再添新 Entry，今次難得有好消息；Microsoft 公布 Microsoft Passwordless Systems 按月用戶量突破 1.5 億人！ 數碼化年代個人管理帳戶數目高速增長，但大眾未夠認真看待 Password，「Abc123」、「Password1」依然雄踞 2020 年最常用密碼排行榜，而 COVID-19 更讓黑客承機突破企業防線，盡情採摘個人資料。簡單講，這種水平的密碼，形同虛設，構成的保安漏洞令科技企業極度煩惱，Apple、Microsoft、Google、Facebook、Amazon、Intel、Paypal 等巨頭幾年前結盟，組織取名…

由 12345678 到 N 個數字加 N 個字母（大細階）加 N 個符號，密碼設定複雜過讀個學位 ，但複雜化趨勢，正正反映自設密碼，越來越不合時宜。Microsoft Identity Division 的 Corporate Vice President Joy Chik 指出，80％的黑客攻擊都係為咗用戶資料，亦即係 Login…

資料外洩事故頻繁，就算自己明明盡力把關，奈何第三方又唔生性外洩資料，究竟自己個密碼有否被黑？一般都要靠 HaveIBeenPwned.com 之類查詢網站，Google 推出官方擴充功能 Password Checkup，可在用戶帳號密碼外洩時，主動通知用戶，必更受用戶愛戴。 Google 官方日前推出新擴充功能 Password Checkup，啟動之後，用戶於任何網站登入，只要輸入的使用者名稱和密碼，Password Checkup 都自動與 Google 超過 40 億個已知的外洩資料作對比，一但發現安全疑慮，即會傳送警示通知用戶更改密碼。 當然，第一個疑問就係：咁 Google 咪知我個密碼囉？咁又點保障呢？Google 方面解釋，設計…

以網絡罪案為主題的港產片《斷網》，集合三大金像影帝，劇情講述黑客在網絡世界中洗黑錢，牽涉不少網絡保安技術及用語。橋段在現實中是否可行？還是只是戲劇效果？小編請來業界專業人士、網絡安全供應商Palo Alto Networks香港及澳門地區總經理馮志剛（Wickie Fung），為讀者破解七大迷思！ （注意：下文含有劇透） 想睇更多業界訪談？立即免費訂閱 ！ 1．安裝 17 個防火牆防禦加倍？ 劇情簡介：郭富城為取得罪證而駭入林家棟的電腦，但其電腦卻安裝了 17 個防火牆，令駭入過程相當困難。事實上，安裝多個防火牆，又是否代表防禦力會大幅提升呢？ 「如果呢個廠家擋唔住，第二個廠家都擋得住」，Wickie 指這是比較舊有的概念，有不少客戶（例如銀行）以為安裝多重防火牆、獲多幾個廠家保障，分散投資便能有效抵禦網絡攻擊，但實際上是不可行的。 因為防火牆之間可能會 Crash，而且安裝了多重防火牆，也不代表擁有多重防護。以安裝了 17 個防火牆為例，如果偵測或保護機制相類似，這並不是 Multi-layer，反而出事時會令事件更加複雜，「17…

雖然近期 Google、Microsoft和Apple都各自在其平台推出了無密碼的驗證密鑰（passkey）功能，但大多數人仍然選擇使用自己的密碼。Google 最近開始透過FIDO 聯盟（Fast Identity Online Alliance）測試 Chrome 和 Android 中的驗證密鑰支援功能，而 FIDO 的密鑰是以智能手機傳感器進行生物識別身份驗證，以完成無密碼登入。Apple 於 6 月宣布 iOS 和 macOS 支援使用…

不論去銀行提款機撳錢，又或使用電腦登入帳戶，很多時也無法避免要使用鍵盤輸入密碼或登入資料。英國格拉斯哥大學研究團隊就指出，只要通過熱能監察鏡頭及AI人工智能系統，就可以憑鍵盤上殘留的熱量還原密碼，就算在一分鐘後偵測熱能，成功率都有 62%。系統甚至能 100% 破解 6 位數字的銀行提款機密碼，非常危險，以後輸入密碼，可能要作狀撳多幾個掣。 在鍵盤上讀取輸入密碼的橋段，曾經在大量電視劇集或電影內出現，不過大部分都是掃描留在輸入裝置上面的指紋，極少會偵測殘餘熱量。英國格拉斯哥大學電腦科學系研究員受到熱能監察鏡頭大跌價啟發，再結合人工智能及機器學習系統，設計出名為 ThermoSecure 的還原密碼方法。 研究員解釋，雖然一般人在鍵盤或 keypad 上輸入密碼，手指尖每次接觸表面材質的時間都很短，但無可避免地會將熱能傳送到表面上，因此只要在極短時間內利用熱能監察鏡頭拍攝鍵盤或 keypad 表面，便能取得曾輸入過的按掣資料及其順序。根據測試，在一分鐘時偵測熱能成功率有 62% ，如在 20 秒內，成功率更飊升至 86%。 研究員說，其實這種技術非常普通，要擷取資料並不困難。但還原密碼的難度在於連續輸入的時間極短，導致熱能變化差距微細，如果單靠人力去分析，除非密碼只得幾個字元，否則便極難做到，因此必須出動人工智能及機器學習，讓系統從大量數據中整理出人類輸入密碼及創建密碼的習慣、常用的密碼字元及組合等，即使是多字元的高強度密碼，也有可能成功還原。從研究員公布的數據可見，系統成功還原…

密碼管理服務供應商 LastPass 上月承認公司遭受黑客入侵，不過，事故調查報告要到九月中才發表。官方聲稱黑客並未接觸到客戶資料及加密密碼引擎的詳情，換言之客戶可以放下心頭大石。LastPass 如果對這次事故的調查屬實，就可說是其中一個網絡安全案例正確示範，企業管理者不妨參考一下。 為了保障帳戶的安全性，不少用家都會聽專家之言，起碼會為帳戶採用強密碼，即密碼結合大細楷英文字串、符號、數字，以及密碼至少有 8 個位長度。不過，有調查指現時一般人至少擁有過百過網上服務帳戶，如果密碼要夠長及複雜，而且又要為每個帳戶設立不同密碼組合，相信很少人有能力做到，於是網絡安全專家會建議網民使用密碼管理服務，例如 LastPass、1Password 便是較出名的服務供應商。 雖然這個方法可解決用家無法記住太多密碼的煩惱，但如果密碼管理服務供應商遭受入侵，用家儲存的帳戶資料便有機會一次過被盜取，所以當 LastPass 上月爆出遭入侵事故時，不少用家都相當憂慮，因為隨時會為所有帳戶重設密碼。還好 LastPass 管理層終於發表調查報告，指出這次黑客雖然成功入侵公司的開發環境，假扮成公司其中一個開發人員並為帳戶通過多重因素驗證，不過，公司卻未有太大損失，原因主要有兩點。 首先，官方指 LastPass 有嚴格控制產品推出流程，即使黑客在這次事件中能假扮 Development Team 員工，但由於產品必須經過…

數據洩露經常發生，幾乎每天都聽到相關事故。無論是甚麼行業、部門、地方，受害組織的規模從小型企業，至國際大企業都不能倖免。IBM 估計，2021 年美國公司的數據洩露平均成本為 424 萬美元，當涉及遙距工作，損失平均更增加了 107 萬美元。這篇文章將講解如何檢查自己的資料有否遭外洩及數據外洩的風險等問題。 企業遭遇數據外洩事故，其成本可包括以數百萬美元修復受損系統、執行網絡取證、改善防禦和支付法律費用，還涉及受數據洩露影響的個人客戶流失所致的損失。對於個人而言，損失可能就會變得個人化，損失或可能是工資、儲蓄和投資資金。 數據洩露是如何發生的？ 根據 IBM，網絡攻擊者闖入公司網絡的最常見的初始攻擊手段，多數是利用外洩的憑證，這種方法佔了 20%。這些憑據可能包括線上洩露的帳戶用戶名和密碼，可能在單獨的事故中被盜；或是從暴力攻擊獲得，例如以自動劇本嘗試不同的組合，來破解易於猜測的密碼。 其他潛在的攻擊方法包括： Magecart 攻擊：British Airways 和 Ticketmaster 等公司都曾遇過這些攻擊，即惡意代碼被悄悄加入電子支付頁面，以偷取信用卡資料。 在網站…

密碼管理服務供應商 LastPass 最近向大批用家發現電郵警告，指他們的帳戶出現不尋常的登入記錄，更聲稱已為用家阻截登入，呼籲用家盡快修改密碼及啟用雙重因素驗證 (two-factors authentication) 功能。不過，LastPass 堅稱並未發生數據外洩事件，但就有受影響用家聲稱登入密碼未有共用於其他帳戶，真相到底是？ 為了保障各種帳戶的安全，不少人都會為每個帳戶設定獨一無二的強密碼 (strong password)，即在字元長度、字符組合複雜程度上均達到一定標準的密碼。不過，並非所有人都有超人記憶力，因此要管理所有帳戶的密碼，便必須借助密碼管理器 (password manager) 記錄，而用家日後要取得這些帳戶登入資料，便只須記著一個密碼管理器的登入密碼，上述的強密碼應用才變得可行。 LastPass 便是其中一款最多人使用的密碼管理器，但就在近日內，有 LastPass 用家收到官方發現的電郵警告，稱其帳戶出現可疑登入，雖然對方使用了正確的帳戶登入資料，但由於登入的位置與用家平常有很大出入，系統站於安全立場，已先為用家進行攔截，並建議如登入並非由用家自己執行，便應立即更換密碼及提升安全檢查功能。LastPass 方面堅稱內部未有發生任何數據外洩，相信黑客是從其他數據外洩事件中取得用家的帳戶登入資料。 不過，有 LastPass…