防堵笨密碼！微軟強制用戶換掉低強度密碼

網路個資外洩事件頻傳，本月才傳出LinkedIn上億筆資料遭竊的消息。雖然資安專家不斷提醒應設定高安全度的密碼，但還是有不少用戶繼續使用「123456」、「abcdef」、「password」這類容易遭破解的「笨密碼」。為了保護用戶帳號安全，微軟將比對駭客外流的密碼清單，禁止用戶繼續使用「笨密碼」登入。

微軟指出，許多網站通常以密碼長度、密碼複雜度以及頻繁更換密碼這三個要求，幫助用戶設置高強度密碼。但事實上，這些提醒反而讓密碼更容易被破解，因為人在面對這些要求的時候，行為非常容易預測。例如，當被要求密碼要超過16個字元時，用戶會設定重複模式的密碼，如「fourfourfourfour」或「passwordpassword」；此外，定期更新密碼也常有固定模式，例如只是更換排列組合或其中幾個字母，未必能提升密碼安全性。

為防止用戶設置低安全性密碼，微軟推出「動態禁止（dynamically banned）」功能，透過分析從駭客流出的密碼清單，可知道哪些密碼較易被破解；一旦用戶輸入的密碼在清單上，微軟即會禁止用戶登入，提醒用戶「換個人們更難猜到的密碼」，直到用戶設定微軟認為安全無虞的高強度密碼才能登入。這份清單會隨著流出的外洩密碼不斷更新。

此外，微軟也有「智慧鎖定」模式，若密碼輸入錯誤太多次，即會鎖定帳戶以防止帳號被盜。微軟指出，這項功能已有效阻止54%匿名網域試圖入侵帳戶，另有46%的阻擋來自熟悉網域，可能是有人試圖從特定用戶的網域或裝置登入該名用戶帳號，或更有可能只是用戶自己忘記密碼。

密碼保護功能已套用在微軟旗下服務，包含Outlook、Xbox、OneDrive等，以及使用微軟雲端身分識別服務Azure Active Directory的帳號。

我看Google、Facebook也絕對要防堵笨密碼！然後，微軟、Google、Facebook很快就會發現很多人常常用「忘記密碼」！

別再用這幾組密碼 調查：連續數字最容易被駭

英國國家網路安全中心研究發現，在全球被駭帳號中，最常使用的密碼不意外由123456榮登榜首。其他排名前10最易被駭密碼，除了類似連續數字串，還包括password和qwerty等字。

美國有線電視新聞網（CNN）報導，英國國家網路安全中心（NCSC）調查全球曾被入侵帳號使用的密碼，發現多達2320萬個帳號使用容易破解的123456作為密碼。

英國國家網路安全中心還發現，123456789這組密碼也有770萬個帳號使用；而以qwerty（標準打字鍵盤）或password（密碼）兩字作為密碼的帳號，則分別超過300萬個。

以下是英國國家網路安全中心統計全球被駭帳號最常使用的10組密碼：

1. 123456 2. 123456789 3. qwerty 4. password5. 111111 6. 12345678 7. abc123 8. 1234567 9.password1 10. 12345

英國國家網路安全中心的調查顯示，使用人名、球隊名和髒話作為密碼的帳號比想像中多。其中Ashley（艾希禮）和Michael（麥可）是最常被當作密碼的人名，Liverpool（利物浦）則是最常作為密碼的英格蘭足球超級聯賽（Premier League）隊伍。

此外，superman（超人）是最常作為密碼的虛構人物，Sunday（週日）是一周日子中最熱門密碼選項，August（8月）是最常被當作密碼的月份，iloveyou（我愛你）以些微差距掉出前10名，monkey（猴子）和dragon（龍）則意外出現在熱門密碼前20名。

英國國家網路安全中心建議民眾用「任選但記得住」的字作為密碼，以降低帳號被破解風險。

英國國家網路安全中心技術總監李威（Ian Levy）在聲明中表示：「密碼重複使用構成重大風險，而這是可避免的。民眾不應使用能被猜中的密碼來保護敏感資料，例如使用他們的名字、當地足球隊名或受歡迎的樂團名。」

李威還說：「使用難以猜出的密碼是強大的第一步，我們建議結合3個任選但記得住的字，發揮創意，並使用對你有紀念價值的字，好讓其他人無法猜出你的密碼。」