正在鍵盤上輸入密碼的手。Text on screen:具有表示隱藏星號的密碼
如何善用密碼安全地防護檔案和隨身碟
二月 2024
博客首頁

在傳送電子郵件時,醫生、律師和商人等專業人士都會對 .pdf 或 .xls 檔案使用密碼防護,並認定這些檔案已得到充分防護,不會被他人窺視。然而,一般密碼防護並不像人們想像的那麼安全。使用密碼來保護檔案和隨身碟的安全有更好的方法。

根本上來說,沒有實體資料加密的密碼防護毫無用處,且很容易被破解。當安全性專業人員討論密碼防護時,通常僅止於討論作為存取資料的方法層面。資料通常有自備的實體保護措施以防止駭客攻擊:軟體型加密或硬體型加密。

我們將探討軟體型加密或硬體型加密等密碼防護功能之間的差異,例如硬體型加密 USB 或外接式磁碟機。

軟體型加密的密碼防護與硬體型加密之間存在的顯著差異是,加密是使用唯一密碼防護使用者資料的重要工具,但硬體型加密隨身碟是否比軟體型加密檔案或隨身碟更能防護您的私人資料?例如,在報稅季前夕,防護您的個人帳戶免遭竊盜、遺失或駭客攻擊的最有效方法為何?

硬件加密

Kingston IronKey USB 平放在深色背景中。

許多應用程式 (例如 MS Word、Excel、Adobe Acrobat 等) 有提供建立「密碼防護」檔案的選項。應用程式會對檔案執行某種形式的軟體型加密,對資料進行實際防護。有時候,因為沒有指定加密級別,使用者並不知道資料本身實際上使用了什麼機制,只知道有密碼防護。Windows 也提供 BitLocker 軟體型加密功能,能加密電腦設備中的磁碟機或檔案。最新的 BitLocker 版本是支援 XTS 模式最尖端的 256 位元進階加密標準 (AES),您應該堅持這個標準。

以 BitLocker 為例,它就是一個能將加密資料鎖定在密碼閘之後,藉以提供軟體型加密功能的軟體工具。加密之後,檔案資料在寫入隨身碟時會透過演算法 (例如 AES) 進行內容擾亂。當使用者輸入正確密碼時,就能對隨身碟讀取出來的資料加以解密。

研發人員喜歡使用軟體型加密,因為執行成本低、無需專業硬體,且研發人員本身擁有加密軟體控制權,如果需要,可輕鬆獲得存取許可。但缺點往往和優點並存:如果使用者的密碼被駭客竊取,駭客就能得知電腦記憶體中的密碼或加密和隨身碟復原金鑰,導致會抵消掉加密的優點。另一個問題是軟體型加密在操作時需要用到電腦的處理能力。如果使用者開啟或關閉例如圖像或影片等大型加密檔案,可能會影響系統效能。

軟體型加密適合事後想補強資料安全或認為資料安全是「‘錦上添花」的使用者。在這些情況下,密碼防護檔案的軟體型加密工具應該對電腦、電子郵件或雲端帳戶來說夠用了。 然而,軟體型加密並不限制猜測密碼次數,這也稱為暴力攻擊法或字典攻擊法,是駭客使用排除法,以自動化工具來破解密碼的方法。網路上有許多工具可以移除多種檔案的密碼,並解密其資料。目前大多數密碼的長度約為 8 個字元,高效能的電腦每秒可以執行猜測 10 億組密碼以上,這意味著許多軟體型加密的檔案可以被快速解鎖,資料會受到損害。 專家建議人們使用長度至少為 12 個字元的密碼,以減緩駭客攻擊軟體型加密的速度

解決方案是使用硬體型加密的 USB 和外接式 SSD 固態硬碟,來保護您的資料。能藉由最佳的 XTS 模式 AES 256 位元加密來防止暴力攻擊法。您也可以使用長度超過 12-16 個字元的複雜密碼,或總長度超過 12 個字元的多個單字短語密碼,來降低暴力攻擊法的效果。

硬體型加密

一台插有 USB 隨身碟的筆記型電腦。螢幕上顯示密碼輸入視窗。

與軟體型加密不同,硬體型加密由專用於使用者身份驗證和資料加密的獨立安全微處理器提供支援。人們認為硬體型加密更安全,其執行過程與電腦的其餘執行部分分開,因此攔截或攻擊的難度呈指數級增長。處理器這種程度的分離模式,硬體型加密裝置會執行所有資料處理,代表加密流程也會更快。

硬體型加密隨身碟比軟體型加密隨身碟更昂貴,因為硬體型加密隨身碟包含進階元件、更複雜的技術,並且是從頭開始設計的資料保護裝置,這與軟體型加密隨身碟有未加密替代品的情況不同。典型的 USB 裝置是沒有安全措施的簡單儲存裝置,硬體型加密隨身碟則是專為保護資料所建構的,就像是針對隨身碟被盜或遺失的保障一樣。

遵守隱私權法律和法規 (例如 HIPAA、GDPR、CCPA 等) 的公司可能會發現,因標準 USB 隨身碟丟失或被盜而導致違規行為的法律成本,比起硬體型加密隨身碟的成本高出許多數量級。世界各地不斷增加的資料外洩事件所造成的影響正在推高成本,故我們需要更強而有力的資料防護功能。

這最終取決於您認定最敏感的個人資料值多少。

硬體型加密的優點

一台筆記型電腦上有鎖頭和鑰匙,閉合的鎖頭上有和電路板相連重疊的符號。

有許多理由推薦硬體型加密:

  • 更難以攻擊:與軟體型加密裝置不同,Kingston IronKey 系列中的裝置是專為抵禦駭客攻擊所設計。針對密碼暴力攻擊等方法能提供額外防護。硬體型加密能計算嘗試輸入密碼的總次數,會在最終達到一定次數後,對隨身碟進行加密擦除。網路犯罪分子傾向於優先考慮對軟體型加密解決方案進行駭客攻擊,因為容易得手。
  • 實體和數位適應性:具有美國政府 NIST FIPS 140-3 3 級標準定義的軍用級安全性硬體型加密隨身碟,增強了對實體裝置篡改的防護。使用環氧樹脂在隨身碟內部零組件周圍形成防護性密封功能,使其更能抵禦物理性攻擊。具備 FIPS 140-3 3 級 (申請中) 認證的一流 IronKey D500S 和 IronKey Keypad 200 系列,在外殼內部填充環氧樹脂,結合各種攻擊防禦措施。FIPS 140-3 3 級標準強制規定有這些防禦機制,包括在達到過高溫或過高電壓時關閉、開機自我檢測以檢測異常狀態並在正常情況下關閉,以及其他滲透測試防禦功能。

    對於獲得 FIPS 140-3 3 級認證的隨身碟,隨身碟必須經過電腦業界中最佳的第三方驗證:由 NIST 認證實驗室進行徹底的檢查和測試。NIST 是負責美國政府機構所使用的 AES 256 位元加密的研究機構。大約需要數年時間才能獲得 FIPS 140-3 3 級認證,這代表著客戶值得信賴的認可標誌,象徵該產品具備極強的抵禦攻擊能力,並有助於法規遵循。
  • 可攜式:您可能無法隨時攜帶桌上型電腦或筆記型電腦出門,卻可以輕鬆地隨身攜帶硬體型加密的 USB 或外接式 SSD 固態硬碟。無需冒著風險以電子郵件將財務文件傳送給會計師或律師,或將敏感資料儲存在雲端,您可以將私人資料安全地保留在您手中。像 IronKey Vault Privacy 80ES 這樣的外接式硬碟,可讓您選擇在您所控制的位置並遠離網路,備份多達 8TB 的資料。
  • 法律和法規遵循:許多情況中都需要資料加密。例如,美國醫療保健體系中的 HIPAA、歐盟的 GDPR 等等。Kingston IronKey 裝置中的資料隨時保持加密狀態,有助於滿足合規性。複雜密碼/短語驗證功能可控制對硬碟的存取權限,Kingston IronKey 裝置支援最多達 64 個字元的密碼短語,而 D500S 則支援 128 個字元。暴力攻擊法防護能抵禦滲透攻擊,如果有人嘗試破解密碼,隨身碟可以擦除其中資料並重設為出廠狀態。

復原資料

有人在筆記型電腦上打字。上面有檔案結構樹狀圖形。

資料復原是硬體型加密與軟體型加密技術的另一個差別。Microsoft BitLocker 具有一個復原金鑰,可加以列印或保存,以供日後使用。Kingston IronKey 裝置則提供多重密碼選擇,以便在遺失一個或多個密碼時,能存取該硬碟。

勒索軟體攻擊次數逐漸增加,故定期備份對於資料復原作業來說十分重要。在所有加密方式選擇中,最佳解決方案是 3-2-1 備份策略。製作 3 個資料副本、儲存在 2 個不同的媒體或裝置中,以防單一個裝置故障或損壞,並將 1 個裝置存放在不同位置。對於備份,IronKey VP80ES 是一個很好的解決方案,儲存容量從 1TB 到 8TB 不等。大多數的 IronKey USB 隨身碟最大儲存容量為 512GB。

有些人使用雲端型備份,但具有雲端儲存相關漏洞和其他安全問題的風險。雲端資料儲存本質上是將您的資料儲存在別人的電腦中。如果在需要時無法存取雲端備份,可能會耽誤您的資料復原和業務活動復原情況。據報導稱,雲端供應商也曾遭受勒索軟體攻擊,這可能會耽誤使用者對其資料存取的情況。

與軟體型加密選擇相比,硬體型加密解決方案能提供更強大、更全面的資料防護,提供重要檔案真正的「密碼保護」。歸根結底,這取決於您對文件的重視程度,以及您需要多少程度的防護。

#KingstonIsWithYou #KingstonIronKey

相關影片

Trisha 手持 IKVP80ES,旁邊是盾牌、具有密碼的螢幕和鎖頭的圖樣。 5:38

安全儲存和存取檔案的正確方法

對於為知名客戶製作內容的創作者來說,加密儲存裝置可保護您的重要檔案,協助您履行安全防護職責。

Trisha 手上拿著 DT2000 USB 隨身碟 2:53

加密的 USB 隨身碟說明

加密的 USB 隨身碟可確保私人資料的安全,但是它們是如何辦到的?

相關文章

博客首頁