管理網上密碼
很多使用者在面對網上安全時都感到束手無策。Google 的 Mark Risher 和 Stephan Micklitz 就討論了怎樣在開發安全措施時考慮這些情感因素
Risher 先生,您是 Google 的產品管理總監,負責互聯網安全方面的工作。您有沒有試過成為網上騙局的受害者?
Mark Risher:我現在想不到具體例子,只能假設自己有試過。我和其他人一樣,在上網時亦會犯錯。例如,我最近試過在錯誤的網站上輸入自己的 Google 密碼。幸好我有安裝 Chrome 的『密碼防護警示』外掛程式,程式及時指出了我的錯誤。之後,我當然立即更改自己的密碼。
Google 私隱及安全團隊工程總監 Stephan Micklitz:這是人之常情。當我們記住密碼之後,很容易就會隨便輸入密碼,而沒有仔細留意輸入密碼的地方。
Risher:我們也希望可以完全棄用密碼,不過這並非易事。
「許多安全措施都在幕後進行。」
Mark Risher
密碼有什麼問題?
Risher:密碼有很多弱點。它們容易被盜,同時又難以牢記,而且管理密碼的工作可能非常煩瑣。很多使用者以為密碼越長越複雜就越好,但其實這只會增加安全風險。如果密碼太複雜,就會讓使用者想偷懶,在多個帳戶上重複使用同一密碼,結果令密碼更易受到攻擊。
Micklitz:越少輸入密碼就越安全。所以您應避免重複登入並登出帳戶。經常這樣做,使用者就會對自己正在瀏覽的網頁減低戒心,令密碼竊賊有機可乘。因此我們建議使用者保持登入帳戶。
在使用銀行網站的時候,假如我閒置了數分鐘,網站就會把我自動登出。
Micklitz:可惜的是,很多公司仍然墨守成規。以前會建議使用者恆常登出,是因為那時候很多人會在網吧上網,又或者與其他人共用電腦。我們的研究顯示,使用者輸入密碼的次數越多,就越易成為網上攻擊的受害者。所以更安全的做法,是在您的手機或電腦上啟用螢幕鎖定功能,同時使用一個安全的密碼。
Risher:沒錯。很可惜現時有很多虛假或不設實際的建議到處流傳,令很多使用者感到混淆。最壞的情況是使用者感到毫無保障,於是乾脆放棄:「要保護自己這麼困難,那多做不如少做好了。」情況就有點像家裡的大門從不上鎖,因為您知道到處都有爆竊案,簡直防不勝防。
Mark Risher 是 Google 安全及私隱產品管理總監。2010年,他創立了網絡安全初創公司 Impermium,該公司於 2014 年被 Google 收購。此後,Risher 一直在位於加州山景城的公司總部工作。右方:進階保護功能程式中使用的安全密鑰。只需支付少許費用,就可以在不同網站上使用。
如果密碼被淘汰,Google 可以怎樣確保使用者的網上安全?
Risher:我們早已在背後採取了不少額外的安全措施。駭客可能知道您的密碼和手機號碼,但我們仍然可以保證您的 Google 帳戶 99.9% 安全。舉例而言,我們會檢查使用者從哪些裝置或國家/地區登入。假如有人連續數次嘗試以錯誤密碼登入您的帳戶,就會觸發我們安全系統中的警報。
Micklitz:我們也開發出「安全檢查」,讓使用者可以在自己的 Google 帳戶中逐步檢查自己的個人安全設定。而「進階保護功能」計劃則可進一步加強保安防範。
這個計劃的理念是什麼?
Micklitz:這個計劃原本專為政治人物、行政總裁或記者等特別易受不法之徒針對的人士而設,但現在已向任何希望獲得額外網上安全保護的人士提供。使用者需要有特別的 USB 或藍牙外接式安全密鑰,才能存取其受保護的 Google 帳戶。
Risher:經驗告訴我們這套系統相當有效,因為所有 Google 員工都以安全密鑰來保障自己的公司帳戶。自這項安全措施推出以來,我們從未有過一宗仿冒詐騙個案的問題根源,可以追溯至密碼確認問題。這種憑證能大幅提升 Google 帳戶的安全性,因為即使入侵者知道密碼,沒有憑證在手一樣無法存取帳戶。一般而言,網上帳戶可在世界上任何地方被入侵;但假如帳戶使用實物安全憑證來加強保護,這種問題就不會出現。
Micklitz:其實這些安全憑證可以用於多個網站,而不只是 Google 的「進階保護功能」計劃。您只需支付少許費用,就可以向我們或其他供應商購買憑證。詳情請參閱g.co/advancedprotection。
「我們有時難以評估網上的風險。」
Stephan Micklitz
您認為目前互聯網中隱藏著的最大危機是什麼?
Risher:網上大量載有使用者名稱和密碼的清單是一大問題。我們的同事 Tadek Pietraszek 和他的團隊花了 6 星期尋遍互聯網,發現了 35 億個使用者名稱和密碼組合。這些資料並非來自駭客入侵的 Google 帳戶,而是其他供應商的被盜資料。但由於很多使用者為不同帳戶設定同一個密碼,這些清單對我們而言也是個問題。
Micklitz:我認為魚叉式網絡釣魚是個大問題。攻擊者會利用巧妙的出個人化的訊息,令受害者無法識別出欺詐行為。我們看到駭客越來越常使用這種方式,並取得成功。
Risher:我同意 Stephan 的看法。魚叉式網絡釣魚並非如想像中般耗時,個人化的垃圾郵件只需數分鐘便可寫出,而駭客更可利用使用者在網上發佈的個人資訊來撰寫訊息。這個問題與加密貨幣特別相關,舉例來說:如果有人公開自己擁有 10,000 比特幣,自然會吸引網絡罪犯的注意。
Micklitz:就像站在市場中心拿起擴音器宣讀自己的銀行帳戶結餘一樣。有人會這樣做嗎?沒有。但我們有時難以評估網上的風險。
一般的垃圾郵件仍然是個問題嗎?
Risher:裝置和服務之間的連結對我們而言是個重大挑戰。大家不再只用手提電腦和智能手機上網,亦會透過電視、智能手錶和智能喇叭連接互聯網。這些裝置執行多個應用程式,讓駭客有更多不同機會發動攻擊。由於現在很多裝置均互相連接,駭客可以使用一部裝置來嘗試存取儲存在其他裝置上的資料。因此,我們現在要面對的問題是:我們如何因應這種全新的使用習慣,繼續保障使用者的安全?
Micklitz:於是我們開始問自己:每項服務真正需要的資料是什麼,同時有什麼資料會在服務之間互相交換。
您如何運用人工智能來保護使用者?
Micklitz:Google 至今已經使用人工智能好一段時間了。
Risher:我們的電郵服務 Gmail 一開始就已經融合了人工智能科技。Google 甚至自行開發機器學習資料庫並取名為 TensorFlow,以協助機器學習的程式編寫人員工作更暢順。Gmail 尤其受惠於 TensorFlow:在識別典型模式上,TensorFlow 為 Gmail 提供了非常重要的服務。
請問這種模式識別功能如何運作?
Risher:假設我們觀察到多位使用者出現可疑活動,而又無法將之分類。自我學習機器可以比較這些可疑活動,並在最佳情況下於新的欺詐形式在網上散播前及早偵測。
Micklitz:當中其實仍有限制:機器的智能水平無法高過使用者。如果我向機器提供錯誤或單方面的資料,機器亦會識別出錯誤或單方面的模式。雖然現時大眾對人工智能充滿期待,人工智能的成效仍需視乎使用者。使用者需要用高質素的資料來訓練機器,並在之後檢查結果。
Risher:當我在為另一間電郵服務供應商工作時,曾經有一位拉各斯的銀行員工向我們傳來訊息。當時,網上流傳許多估計來自尼日利亞的欺詐電郵。這位銀行員工向我們投訴,雖然他的公司是信譽良好的銀行,但他的電郵總是落入收件者的垃圾郵件資料夾。這是典型的案例,展示出模式識別功能因為資料不足而導致錯誤歸納。透過變更演算法,我們最終成功協助解決此問題。
。
相片:Conny Mirbach