[資訊安全]不要再用弱密碼了，教您如何設置安全又好記的密碼

當您進入電腦帳號時，總會被要求輸入帳號名稱（username）與 密碼（password），帳號名稱是用來確認進入系統的使用者身份， 密碼則是證明該使用者有權使用此帳號。在現今通行無阻的網際網路世界，通行密碼是系統安全的第一道防線，但是有許多使用者認為只要有設定密碼，別人就讀不到他的檔案，所以不需要一個好密碼。事實上，使用一個容易猜到的密碼，就好像打開大門邀請小偷進來一般危險， 不只對被侵入的帳號有影響，更可藉由此合法帳號埋下許多披著羊皮的炸彈（如 Trojan Horse），進而毀掉系統重要檔案或侵入其它系統。

安全機構Imperva Application Defense Center（ADC）做的一項研究顯示，有36%的人使用6位數以下的密碼，60%的人總是使用固定幾組英數字當密碼，50%的人使用姓名、俚語、單字、連續數字或鍵盤上相鄰的字母組合作為密碼。最常為人使用的密碼形式為連續數字，再來就是如「Password」、「iloveyou」、「abc123」等單字以及英文名字。

而駭客使用的密碼破解軟體日新月異，遇到上述簡單的密碼，短時間內就可破解，根據ADC統計，大約只要17分鐘就可以破解1000個帳號！

那麼該如何設計安全的密碼呢？安全專家們基於研究數據，及參考美國國家航空暨太空總署制訂的密碼政策，提供了以下建議：

絕對避免的密碼：

1. 不設密碼
2. 不設與帳號相同的密碼
3. 不設與主機名稱相同的密碼
4. 不使用個人資料，如生日、身份證字號、英文姓名或羅馬拼音或漢語拼音、公司部門簡稱、電話號碼...等一些平常在填寫表格不知不覺就會透露出去的資訊
5. 不使用重覆性或連續性或過於簡單的密碼，如123456、abcdef、1qaz2wsx（鍵盤上的連續鍵）、abc123...等此類簡單的組合
6. 不要使用英文單字或句子為密碼
7. 不要設密碼全為數字或全為英文

較佳的設密碼原則：

1. 密碼要至少八碼
2. 密碼最好要英數字參雜且含英文大小寫
3. 若環境允許的話密碼最好要連特殊符號也包含進去，但儘量不要包含空白鍵（有些系統會自動省略空白鍵）
4. 密碼要任何沒有意義的組成
5. 密碼要記的住，最好能夠自己迅速的不看鍵盤就可以打出來（別人偷看想記的時間都來不及）

確保密碼安全要點：

1. 請不要在不熟悉的電腦上設置您的密碼，例如網咖、圖書館、共用系統、會議室...，不要相信您的一舉一動不會被側錄
2. 不告訴任何人你的密碼，但可視情況選擇一人共知密碼，例如親密的配偶
3. 不把密碼存在電腦裡面，不要為了方便而讓電腦記住你的帳號及密碼
4. 若怕密碼忘記的話，可將密碼寫下來，但須提供這個被寫下來的密碼一個適當且安全的地方存放。 一般來說，寫在紙上的密碼較難透過網際網路洩露出去
5. 不要透過email、即時通（MSN、Yahoo、Skype...）等任何通訊軟體傳送您的密碼，或在電子郵件要求下提供您的密碼（例如：釣魚信件要求您輸入某銀行帳戶的帳密）

如何設定符合安全性原則又好記的密碼？

那麼在以上原則之下，要如何才能設計出好記的密碼呢？

訣竅一：利用同音字替換

比如succeed這個單字，可以將英文字母e替換成同音的阿拉伯數字1，這樣就變成succ11d，好記又可混和英數字。

訣竅二：利用同型字替換

比如dog狗這個單字，可以將字母o改成阿拉伯數字0，變成d0g，一樣是有意義的詞，但是混和英數字。

訣竅三：善用特殊符號填充

比如上述d0g這個密碼不夠長，那麼就可以在後頭加上特殊符號如d0g!(!(!(!(!(!(，改成這樣之後不會難記，但是駭客得花上12340個世紀才能破解。

訣竅四：利用中文輸入法

比如「我的密碼」這四個字的注音輸入法是「ji32k7au4a83」的按鍵組合，乍看之下是隨機組合，但其實是有意義的。

總結

上述四個訣竅混搭使用，就可以設計出好記又安全的密碼，若害怕自己設置出來的密碼會忘記，不用擔心，在設置之前可以運用自己的聯想邏輯來設計，而這個聯想所相關的資訊當然是儘量別人不曉得的資訊。而在幾次的登入之後，相信熟能生巧，密碼一定會變成您腦袋的一部份。

Read More

7項措施因應弱點CVE-2014-1776，IE瀏覽器零時差攻擊

微軟瀏覽器 Internet Explorer 被發現存在零時差弱點，在存取已刪除或錯置的記憶體內容時，可破壞(或修改)記憶體內容以置入攻擊者之惡意程式碼。攻擊者可利用此弱點製作惡意網頁，當使用者使用存有弱點的瀏覽器瀏覽該惡意網頁，會使攻擊者有可能以使用者的權限執行任意程式碼。目前已經發現駭客使用此一弱點發動網路攻擊的案例。提醒Internet Explorer瀏覽器使用者，應多加留意透過不明信件的連結，與瀏覽不明網站被攻擊的可能性。 

攻擊手法

那麼，什麼是「Zero Day」呢？它是一個遠端程式碼執行漏洞。白話就是：攻擊得手後，駭客能讓目標電腦執行（特定）軟體。Microsoft 的警告描述：「該漏洞會使記憶體崩潰，並讓攻擊者能在使用者當前使用的 IE 瀏覽器中執行任意程式碼。」

該漏洞源自 Flash——透過一些著名的技術手段（技術細節請參看此處），再進一步利用而侵入電腦記憶體。

在某些情境下，攻擊者會建立一個特定網站來幫助「Zero Day」入侵，該網站會誘使 IE 使用者點擊該網站的連結。因此，如果你使用 IE 瀏覽器，在收到某些附帶網頁連結的可疑的電子郵件時，就要加倍小心了。

影響範圍：

Internet Explorer 6、 7、 8 、 9、 10 、 11 。

建議措施：

微軟周四(5/1)發佈重大系統安全更新KB2964358，可修補於IE 6~IE11版本發生的零時差漏洞，而對已經結束技術支援的Windows XP，微軟也釋出善意表示，基於該漏洞離XP終止支援時間點極為接近，微軟也決定破例額外為XP發布更新修復。不過微軟也提醒還在使用XP的用戶，應盡快移轉至新版Windows 7或 8.1，並將瀏覽器升級至最新IE 11版本。

此外微軟也公告，此更新將於美國當地時間5月1日早上10點釋出，用戶可透過自動更新安裝，但少部份採用手動更新的用戶，微軟也強烈建議，在安全更新發布後盡可能加快手動更新。

如企業內部無法即時更新建議使用以下措施，可以減緩被此一弱點攻擊的可能性：

1. 安裝與使用微軟的Enhanced Mitigation Experience Toolkit(EMET) 4.1 以上的版本，舊版本的EMET無法有效阻擋此一弱點的攻擊。
2. 將IE的安全性等級設定為"高"，進而限制ActiveX控制項與Active Scripting指令碼的執行。
3. 啟用IE受保護模式(IE 10以上內建)
   開啟IE，點選"工具"(或按alt+x)→"網際網路選項"→"安全性"，勾選"啟用受保護模式"來減緩弱點的攻擊風險。
4. 關閉Adobe Flash plugin
   開啟IE，點選"工具"(或按alt+x)→"管理附加元件"→"Shockwave Flash Object"→"停用"→"關閉"。
5. 關閉Active Scripting
   開啟IE，點選"工具"(或按alt+x)→"網際網路選項"→"安全性"→"網際網路"、"近端內部網路"、"信任的網站"、"限制的網站"→"自訂等級"→"Active Scripting"選擇"提示"或"停用"→"確定"。
6. 取消VGX.DLL的註冊
   點選"開始"，執行指令 "regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"，取消VGX.DLL的註冊。在官方修補程式釋出並安裝後，執行指令 "regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"，恢復VGX.DLL的註冊。
7. 勿任意點選e-mail中的網址。

延伸閱讀：

[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ，請評估暫時改用其他瀏覽器！

[資訊安全]如何有效防範社交工程Social Engineering

Read More

[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ，請評估暫時改用其他瀏覽器！

說明

弱點：CVE-2014-1776 Microsoft Internet Explorer 含有允許遠端執行程式碼的Zero-Day 弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Internet Explorer 6~11 版本，網智數位建議請使用者評估暫時改用其他瀏覽器。

微軟官方對此漏洞的解釋 

該漏洞是一個遠端執行代碼的漏洞。該漏洞發生在在Internet Explorer讀取已被刪除或沒有被正確地分配在記憶體中的物件時。這漏洞可能是利用 Memory corruption的方式讓攻擊者可能可以對目前使用Internet Explorer的使用者電腦執行任意代碼。惡意人士可利用此弱點使用水坑型攻擊(Watering Hole Attack) 手法，針對目標瀏覽器使用群(Internet Explorer 6 ~ 11)可能會瀏覽的網站植入Flash 網頁，當目標群以Internet Explorer 瀏覽器瀏覽時則可攻擊成功。該攻擊利用Internet Explorer 無法處理使用釋放後記憶體錯誤(use-after-free) 的漏洞使惡意人士取得使用者權限並得以遠端執行程式碼。

微軟官方目前還在研究調查此漏洞，並建議使用者開啟防火牆和安裝安全軟體，也會在之後推出新的安全性更新，但須注意的是!

Windows XP 並不會在此次更新內，使用 XP 的用戶應該考慮升級您的作業系統或是改用Google Chrome或火狐Firefox瀏覽器。

影響範圍

除了 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 外的所有 Windows 系統上的 IE6~IE11 全系列中獎 !

建議措施

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 利用額外的保護來防堵此漏洞攻擊，並請關閉Flash plugin，以避免遭受此弱點攻擊成功。

什麼是 Enhanced Mitigation Experience Toolkit？
Enhanced Mitigation Experience Toolkit (EMET) 是一種公用程式，可協助預防軟體中的弱點被利用。EMET 使用安全防護技術達成此目標。這些技術就像是特殊的防護與障礙，有心人士必須通過這些防護與障礙才能利用軟體弱點。這些安全防護技術不保證弱點不被利用。然而，運用這些技術能讓漏洞更難以遭受入侵。
EMET 4.0 及較新版本也提供可設定的 SSL/TLS 憑證釘選功能，稱為憑證信任。此功能的用途為偵測利用公開金鑰基礎結構 (PKI) 的攔截式攻擊。

注意! EMET 3.0 並不能防範此漏洞

更改瀏覽器

使用者若瀏覽企業內部網站則仍可使用IE 瀏覽器，連至外部網站時建議暫時改用其他瀏覽器，以避免遭受惡意攻擊。

提高警覺

請勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。

Read More