聰運  Bellus Bio-Key USB 2.0 指紋隨身碟 / 指紋辨識器        

最先進的生物指紋科技把密碼放在指紋, 上網不用再記帳號與密碼! 隨身碟資料有密碼保護!             
         

用密碼就想擋住駭客攻擊？　此種資安觀念顯然太過薄弱

密碼似乎已成為當前系統網路存取控制、合法身分識別，抑或檔案加密等安全機制的主要依恃，多數人也誤以為只要設好密碼，系統、網路、機密檔案，乃至合法身分及權限，就能受到妥善的保護，而因此高枕無憂。若是一般民眾作如是想法倒也無可厚非，若是企業資安策略是以此為最高指導原則，那MIS人員的資安觀念顯然就太過薄弱了。

事實上，密碼一點也不夠安全，因為當前的密碼駭客，可以透過1秒鐘產生數百萬種密碼組合的方式，輕易破解人們原以為牢不可破的密碼。面對上述的可能性，企業關鍵資料庫、伺服器、管理人員之機台，以及各種重要機密檔案的存取，豈可再持續仰賴如此不可靠的密碼機制？

日前，舉世知名的解密專家，同時也是Counterpane Internet Security公安全管理監控服務公司創辦人兼技術長的Bruce Schneier，曾公開發表文章指出，針對各個安全防護領域，當前網路使用者對密碼運用的重視程度，似乎有了不小的改善及提升，因為使用者不但體認到設置密碼的重要性，同時在設定上，也由原本的簡單草率，轉而朝向複雜謹嚴的趨勢（例如字母與數字混用，或採取更長的密碼）。

但是， Bruce Schneier卻也直接點出了當前密碼在安全防護上，似乎僅達到聊備一格的作用，因為駭客可以同時集結數十萬台殭屍電腦，透過強大的叢集運算或分散式運算架構，在1秒鐘內產生數百萬種密碼組合，一些簡單的密碼只需短短的數秒鐘即遭到破解，即使再嚴密的密碼，也不必花費太久的時間，依然會遭到被攻破的命運。

Bruce Schneier所發表的文章，雖然從密碼的設定上，說明了人們對安全意識已有所改善，不過其真正用意，恐怕是尖銳的指出，人們即使在原本就不甚安全的密碼機制上做了再多改善，最終仍只是浪費時間罷了。

反觀當前企業的IT環境，舉凡關鍵應用的存取、伺服器、端點系統，乃至VPN網路的登錄，莫不採取密碼設定的方式加以保護，即使是當前相當熱門並引發業界普遍認同的加密機制，無論是微軟Vista BitLocker、HP-UX Encrypted Volume and File System，或者是Seagate、易拓所推出的加密硬碟，在操作存取上，仍然以密碼為最主要的啟動方式，換句話說，即使採用諸如AES等高級加密演算法進行加密，但是啟動該加解密演算法的，依舊是安全性堪憂的密碼！

姑且不論一般使用者電腦密碼系統的安全性，因為對於駭客來說，這類電腦除了植入Bot，使之成為轄下殭屍電腦的作用外，在機密性方面幾乎毫無價值可言；但是企業關鍵資料庫伺服器則不然，駭客可能試圖藉由攻擊企業各端點系統、管理人員機台、伺服器等方式，作為進一步入侵機密資料庫的跳板。然而令人感到憂心的是，目前上述各系統存取控制機制，最常見的主要依侍，卻是極不安全的密碼。

企業如果繼續在這些系統上採用安全性令人質疑的密碼機制，無異是放任企業陷入高度的風險危機，對此，企業豈可不亟思積極解決之道？也許導入USB Token或指紋辨識機制來取代密碼，會是1種比較安全的做法。當然，要讓企業內部所有端點系統，全面導入Token或指紋辨識機制，絕對有執行上、預算上、甚至使用上的困難性，因此企業不妨可率先在管理人員，以及內部主管等系統權限較高的電腦系統上建置前述機制，以取代安全不足的密碼，或許不失為兼具安全性及可行性的做法。Digitimes （記者曹乙帆／台北）