网络安全专家翁浩正在接受曾博恩专访,对当前的网络资安问题进行深入剖析。翁浩正指出,随着人工智能的普及,黑客已能利用自动化工具,找出人性的思考逻辑与脉络入侵账户,这使得传统的资安防御观念面临严峻挑战。他指出密码复杂度已经不重要了,重点是要够特别,而他提出目前为止比较有用的防御手段是使用“生物识别”,或是“加密”的密码管理工具。
智能灯泡也会变成攻击国家的武器?
在网络普及的环境下,像是智能灯泡这类家用设备,也可能成为黑客发动大规模网络攻击的“跳板”。如果用户未更改预设密码或使用如“12345678”这类弱密码,黑客便能通过自动化扫描工具轻易获取控制权。
一旦控制权遭夺取,黑客并非仅针对该设备本身,而是以此为基地,隐藏真实身份,进而对国防机构或政府机关等重要目标发动攻击。此举将导致执法单位在追查数字痕迹时,直接指向该物联网装置持有者的 IP 地址,使一般民众在无意间成为黑客行为的替罪羔羊。由于多数使用者对这类家用装置的安全性缺乏戒心,家用智能设备已成为现今网络犯罪中隐蔽性极高的攻击路径。
预设密码越长表示系统比较先进安全!
翁浩正对传统的资安系统提出批评,特别是“定期更改密码”或“强制包含特殊字符”的规范。他强调,密码的“长度”与“不可预测性”对于现代防御黑客攻击更具实效。目前建议的密码长度应介于 14 到 20 个字符之间,或使用长句组合。如果是旧年代网络时代的网站,工程师只会将预设密码设置在 8 位以内。当使用者采用易于预测的模式,例如说在原密码末尾递增一个惊叹号,这在现代破解技术面前几乎不具备防御力。主要原因在于黑客可以通过其他方式理解使用者的逻辑,例如只用 1234567 再加上一个特殊符号,就容易被计算出来。
密码管理工具、多重身份验证可平衡便利性及安全性
针对个人账户的防护,专家提倡使用密码管理工具(Password Manager)与多重身份验证(Multi-Factor Authentication, MFA)。密码管理工具能够为不同账户生成数千组独立且随机的密码,避免单一账户遭入侵后引发连锁效应。尽管高级黑客可能尝试绕过多因素验证,但对阻绝 SIM Swapping“SIM 卡交换”或 AI 驱动的自动化钓鱼攻击,多重身份验证仍是目前平衡便利性与安全性最有效的手段。
精神疲惫也会造成漏洞
在资安技术不断进化的同时,精神疲惫所产生的人为疏忽仍是最大漏洞。近年常见的 Push Fatigue Attack“推播疲劳攻击”,即是利用黑客连续发送大量登录验证请求,试图使受害者在不耐烦或分心的状态下,下意识点击“同意”或“允许”。这种针对人类行为特性的攻击方式,显示出仅有技术防御是不够的。
当使用者在管理数字风险时,应具备清醒意识。针对重要性较高的账户(如网络银行或电子邮件),必须采取最高等级的安全设置,而非将所有服务置于相同的防护水平。专家提醒,安全与便利之间必然存在权衡,最大的威胁往往源于对装置设置的忽视,或对操作流程的过度依赖。这类人性弱点,是自动化工具最易突破的环节。
密码管理工具可以怎么选
目前市面上存在多种密码管理方案,包括独立应用程序(如 1Password)以及浏览器内建的存储功能(如 Google Chrome 或 Firefox 内建工具)。尽管浏览器管理工具具备高度便利性,但若电脑实体控制权遭他人取得,则存在密码外流风险。专业的密码管理工具仅需使用者记住一组强健的 Master Password“主密码”,其余复杂的加密流程均交由软件处理。
除了存储密码外,这些工具在防御网络钓鱼(Phishing)方面具有显著优势。当使用者误植诈骗网站或钓鱼页面时,密码管理工具会因网址(URL)不匹配而拒绝自动带入凭证,这能有效防止使用者因肉眼无法辨识伪造网址而泄露个人信息。专家强调,无论选择何种信誉良好的管理软件,其安全性都远高于在多个网站重复使用同一组简单密码的旧有习惯。
这篇文章 网络安全专家翁浩正在接受博恩专访分享“黑客”会如何盗取网络密码!最早出现在 链新闻 ABMedia。
