Dashlane發表消費性及企業網站密碼強度分析

拓墣觀點

安全密碼管理業者Dashlane於2017年8月10日發布密碼安全性排名調查。

調查範圍包括40個受歡迎的消費性、企業SaaS及媒體服務網站密碼性能，結果發現消費者網站當中46%(其中包括Dropbox、Netflix和Pandora等網站)未能實施最基本的密碼安全性原則，企業網站當中有36%網站未能提升其密碼的安全性，包括DocuSign和雲端運算巨頭AWS(Amazon Web Services)等網站不具備最基本的密碼安全性要求。

• 1. 各式新興支付工具興起，裝置安全需更加謹慎

目前在登錄網站時，多需要使用者輸入密碼以進行安全認證，若密碼設定太過簡單，亦或使用者擔心忘記密碼，常會多個網站選擇一組密碼，因而導致安全問題，尤其智慧型手機、NB和電郵密碼是全球消費者最易共用的密碼類型。

由於用戶將密碼保存在智慧型手機及手提電腦上，而電郵可用來重設其他帳戶密碼，此類密碼共用會導致潛在安全威脅。

一旦被駭客入侵進行資訊追蹤或當使用網站遭到攻擊，用戶極可能遭受損失。

隨著手機購物氾濫(手機具備個人隱私、行動支付等價值資訊，將來必成病毒更快的散布源)，世界各地紛紛傳出NFC盜竊，唯有不斷加強防護，多一道安全認證才能使用戶安心，也因此手機大廠Apple強調安全防護，以指紋辨識或主動叫出卡片等方式來確認付款。

近期出現LeakerLocker新形態手機勒索病毒，其透過受害者的檔案加密，以受害者手機上的個人資料傳送至遠端伺服器，要求受害人支付贖金，否則就將資料發送給通訊錄中的每一個人(最常發生個人私密照片散發)，目前從Google Play上的惡意程式散布，包括「Calls Recorder」(電話錄音程式)、「Wallpapers Blur HD」(散景桌布)及「Booster & Cleaner Pro」(系統優化清理程式)。

除個人裝置須防範駭客外，目前資安防護層級更擴及金融和醫療業，例如2017年2月台灣券商遭受史上最大規模駭客攻擊，6家分別遭受境外駭客透過分散式阻斷服務DDOS(Distributed Denial-of-Service Attack)攻擊，下單網頁被癱瘓，對方勒索10比特幣(約30萬元新台幣)，否則有更大攻擊。

目前行政院資安處已介入，並提高到國安層級防範。

在醫療應用方面，則因與智慧裝置連結(平板、手機、穿戴裝置等)，裝置內的資料及裝置本身的控制權均可輕易暴露在威脅下，在重視醫療安全反而忽略網路安全下，所產生之資安漏洞。

• 2. 企業資源有限，應採用不同層級資安防護

2017年有80%以上的企業朝向混合雲架構布局，過去企業在數據中心的建置以私有Application、Server、Database透過各種不同安全防護機製做一個自建型態，目前則結合AWS、Azure或OpenStack協議之公有雲、企業私有雲，將既有的Datacenter與SaaS來做混合雲搭配。

換言之，對於資安解決方案需求亦將轉為全方位應用，包括在應用程式的防護(Application Protection)上，從Networking、DNS(Domain Name System) Security、DDoS Protection、SSL(Secure Sockets Layer) Inspection、Hybrid WAF(Web Application Firewall)、Web Fraud Protection、IP Intelligence等防護。

另一方面，防駭思維已從前端建立防線，轉為中、後端內部存取行為監控、特權帳號、威脅偵測與資料存取等控管。

以資安業者F5為例，其應用為中心雲戰略，包括雲計算的可靠、無所不在的安全、業務系統的敏捷，強調在各種部屬模型中保證應用服務的一致性，並深入分析應用流量以更好的保護資料資產，進而從複雜的不同雲環境中抽離出來，實現應用統一部屬和集中管控。

而在企業建置APT(Advanced Persistent Threat)稽核內控機制中，可將資安方案擺在減少被駭成本、困難度、縮短察覺時間並降低損失，透過資訊流與金流分開，擺放雲端的方式亦是可採取的作法。

（文/拓墣產業研究院 謝雨珊）

此文為拓墣產業研究院原創內容，如需轉載請註明出處。

微信搜索【拓墣產業研究院】微信公眾號並關注，可獲得其他原創分析報告

拓墣產業研究院公眾號：TRI-topology