问:很多听众都以为设置的密码够长够复杂,就可以保护到自己的网络安全,但近日美国国安局(NSA)、网络安全及基础设施安全局(CISA)、联邦调查局(FBI),以及英国国家网络安全中心(NCSC)联手发表的报告,显示俄国人连又长又复杂的密码都可以应付自如,到底是怎样一回事?
李建军:根据英美政府联合发表的研究报告,俄国情报部门,利用暴力破解的手段,不断尝试不同的用户密码组合,意图入侵系统。在过往,够长够复杂的密码,很难遭到暴力破解,往往要千年万代的尝试先有机会成功,但电脑运算能力及网络速度不断提升,过往要整年去做的事,现在几年,甚至几个月已经可能成功。特别是超级电脑可以利用民间买到的处理器去搭建,拥有强大电脑的情报部门成功撞破你的密码亦十分之正常,因此你绝不能只依靠又长又复杂的密码。而且太长太复杂的密码,你自己都会很难使用,加上人的特性,亦限制了密码的长度以及复杂程度。
问:中国当局可以利用超级电脑网络,执行暴力破解攻击,以中国或香港的情况,甚么人最有可能被当局看中?
李建军:当然并非每个人的密码都值得使用暴力破解手段,始终仍然要耗用庞大运算能力,而且相关运算能力,可能需要用于对外情报搜集,甚至模拟核弹试爆等用途,所以只有个别高价值人士的网络帐户,才会成为当局的目标。
如果你是律师、社运人士、维权人士、记者等类人士,最容易引起中国当局的注意。特别香港现时的情况,因网络未做到百分百监控,很多人亦对中国软件公司推出软件有高度警觉,要植入木马相对困难,所以中国更会依赖暴力破解一类工具去试图取得情报。
问:如果是高危人士,如何防止中国当局利用暴力破解手段成功取得密码?
李建军:暴力破解的出现,正正是双重认证,或者简称2FA认证出现的原因,任何双重认证技术的目的,都是避免对方可以单凭网络连线,靠猜密码去成功暴力破解你的户口。当然,在中国甚至香港的情况,因中国当局可以透过电讯公司拦截单次使用密码,以手机短信为本的双重认证技术已不再可靠。但利用手机应用程式,或者硬体金钥进行双重认证,因为涉及黑客无法取得的认证用软硬件,所以对方有多强大运算能力都不会成功。因此,一定要使用短信以外的双重认证技术,以防止中国当局利用暴力破解手段取得密码,造成个人资料外泄。
问:虽然大部分有名的网络服务,如GMail和脸书等都有双重认证支援,但如果自己组建的主机,或一些组织建的小型主机,没有双重认证支援又怎办?
李建军:自己建的Wordpress一类主机,其实有免费插件支援双重认证,因为双重认证已经是业界标准,你可以在网上找一找各式各样的插件。
如果你所属的组织建的小型主机,缺乏双重认证支援,而组织技术人员不知如何安装有关功能的话,你只能避免使用相关服务。其实俄国的攻击目标,都是有安全漏洞的旧版微软Exchange电邮服务,其本身设计就没有涵盖双重认证的支援,情报人员想用暴力破解相关主机亦变得相当正常。那只能避免在这类型Exchange主机负责电邮上商谈敏感话题,或者将你的电邮先加密,只有对方有私钥才能开启,避免一旦有人户口被成功破解导致的内容外泄。
要注意的是,如果你不肯定收件人所属组织的主机支援双重认证,在一些涉及敏感话题的电邮加密,不失为一个安全谨慎的做法。因为对方都有可能受到暴力破解的影响,只考虑到自己的安全,是不够周详。
No comments:
Post a Comment