網路個資外洩事件頻傳,本月才傳出LinkedIn上億筆資料遭竊的消息。雖然資安專家不斷提醒應設定高安全度的密碼,但還是有不少用戶繼續使用「123456」、「abcdef」、「password」這類容易遭破解的「笨密碼」。為了保護用戶帳號安全,微軟將比對駭客外流的密碼清單,禁止用戶繼續使用「笨密碼」登入。
(圖片來源:Microsoft)
微軟指出,許多網站通常以密碼長度、密碼複雜度以及頻繁更換密碼這三個要求,幫助用戶設置高強度密碼。但事實上,這些提醒反而讓密碼更容易被破解,因為人在面對這些要求的時候,行為非常容易預測。例如,當被要求密碼要超過16個字元時,用戶會設定重複模式的密碼,如「fourfourfourfour」或「passwordpassword」;此外,定期更新密碼也常有固定模式,例如只是更換排列組合或其中幾個字母,未必能提升密碼安全性。
為防止用戶設置低安全性密碼,微軟推出「動態禁止(dynamically banned)」功能,透過分析從駭客流出的密碼清單,可知道哪些密碼較易被破解;一旦用戶輸入的密碼在清單上,微軟即會禁止用戶登入,提醒用戶「換個人們更難猜到的密碼」,直到用戶設定微軟認為安全無虞的高強度密碼才能登入。這份清單會隨著流出的外洩密碼不斷更新。
此外,微軟也有「智慧鎖定」模式,若密碼輸入錯誤太多次,即會鎖定帳戶以防止帳號被盜。微軟指出,這項功能已有效阻止54%匿名網域試圖入侵帳戶,另有46%的阻擋來自熟悉網域,可能是有人試圖從特定用戶的網域或裝置登入該名用戶帳號,或更有可能只是用戶自己忘記密碼。
密碼保護功能已套用在微軟旗下服務,包含Outlook、Xbox、OneDrive等,以及使用微軟雲端身分識別服務Azure Active Directory的帳號。
資料來源:Microsoft、The Next Web
