每年五月的第一個星期四，被訂為「世界密碼日」，旨在提醒大眾留意自己正在使用的密碼，是否存在網絡安全隱患。今時今日我們登入各項網上服務，少不了用上密碼保護帳戶。藉著「世界密碼日」，是時候讓我們重新檢視各個密碼，好好保護我們儲存在網絡中的資料。

自訂密碼未必如想像般安全

有研究發現，我們每人平均需要記住100個密碼，為了方便管理眾多密碼，有時我們或會選擇設定簡單易記的密碼，但這些密碼未必帶來真正的保護作用。即使我們並非使用首十大經常使用的密碼，但我們也多傾向使用非常短的詞語組合。組合主要啟發自我們生活中感興趣的東西，可能是親人和寵物的名字、嗜好，或是對我們有意義的地方名稱。即使是看來十分獨特的單詞和短語，其實它們本身是十分普遍的密碼之選，可在社交媒體上輕易找到，這意味著不法分子也很容易獲得這些資訊。

不法分子除了能夠根據我們在網絡上的足跡猜到我們的常用密碼外，他們還會使用各式密碼破解工具破解帳戶。這些工具試圖通過常用的字典單詞，解除帳戶密碼。由於許多人會重複使用同一個密碼，當一個帳戶遭到破壞，那些採用相同密碼的帳戶，都可能遭受攻擊。因此，我們應該定期檢視、以至重新設定密碼，更有效地管理所有帳戶。

企業的網絡安全之道

美國風險管理公司Kroll翻查過許多案例，發現密碼管理不善是導致網絡攻擊的根本原因之一。其中一個案例是一間對沖基金公司因所設定的密碼強度不足，令其持有的獨特基金演算法被盜，導致重大經濟損失。而在另一案例中，一位私人財富銀行經理的電郵帳戶遭盜用。不法分子透過電郵帳戶，偷偷發送虛假指令予其中一位銀行客戶，導致客戶損失逾百萬美元。經調查後，Kroll發現該財富經理的電郵密碼原來是其女兒的名字。

隨著憑證洩露攻擊增加，即使已設定具足夠強度的密碼，亦未必可以提供足夠的保護，Kroll建議企業採用多重身份認證（Multifactor Authentication；MFA），即透過應用程式做額外的身份認證。企業應要求所有人及每個系統帳戶都啟用MFA，尤其是含有敏感數據的系統，如財務、人力資源和其他受法律或法規保護的數據，並時常審核與檢視相關部屬，才能確保不法分子無機可乘，保護數據安全。