我們注意到您目前正在訪問英國網站。您想訪問我們的主網站嗎?

辦公室裡使用鍵盤的人。疊加多個電子郵件標誌以及一個盾牌或鎖的標誌。

以電子郵件傳送有密碼防護的文件:新的無聲入侵

我們非常依賴電子郵件

無論是出於個人目的還是商業目的,電子郵件在我們的現代生活方式中無所不在。COVID 大流行後,企業越來越依賴遠距會議,而非親自拜訪。因此,公司員工與同事、客戶、顧客或其他第三方廠商 (例如服務提供者、承包商、財務、法律和工程合作夥伴等) 分享的檔案越來越多。當我們將包含敏感資訊的檔案附加到電子郵件時,安全性比以往更為重要。因為我們相信,我們的敏感資料是安全的,因為電子郵件供應商能對我們的訊息進行適當的端到端加密。

有些人則是設想更多。Word、Excel®、Adobe® Acrobat® 等應用程式以及許多其他應用程式都允許使用者使用密碼防護檔案。這種內建加密功能旨在增強人們對資料安全的信心,只有擁有正確密碼的目標收件者才能存取資料。

然而,這種信心可能會被誤用。IT 部門通常不會依據法律法規的要求,定期檢查寄送出去的電子郵件中受防護資料是否存在潛在的外洩風險,而這些受防護資料有些儲存在本地端,有些則位於雲端伺服器中。在許多情況下,發生電子郵件外洩的承包商可能不會向其合作夥伴報告。

那麼,以電子郵件寄出的附件有多安全呢?

我們必須假設我們的電子郵件伺服器、網際網路供應商和客戶/合作夥伴伺服器都有受到適當的安全防護。雲端或公司資料外洩的新聞不斷,但關於電子郵件外洩的報導卻很少。

然而,2023 年 7 月,駭客入侵過美國政府的電子郵件帳號。2024 年 1 月,Microsoft® 透露,其為一個長達兩個月的電子郵件洩漏的受害者,高階主管的內部訊息和附件遭竊。

處理敏感資料時還能感受到安全感嗎?考慮到處理有價值資料的職業,例如律師、財務顧問、稅務師、保險公司等。對檔案進行密碼防護,以便對其進行加密,可讓許多人鬆一口氣,但不能再視為是安全的保證。

使用軟體加密的密碼防護檔案

一個人坐在桌前,使用鍵盤和滑鼠。疊加圖形描繪受密碼防護的文件。

受密碼保護的 Microsoft Excel 試算表客戶資訊或加密的 Acrobat PDF 法律證據可能讓您感到高枕無憂,但如果駭客取得這些文件,他們又能做什麼呢?

此類檔案在電腦上經過軟體加密,並加入密碼閘道以存取資料。如果密碼輸入錯誤,就無法允許存取該檔案,並保持無法存取的狀態。

不幸的是,這些檔案缺乏防禦暴力破解(也稱字典攻擊,即嘗試所有可能的密碼組合)的能力。

舉例來說,假設一個安全且複雜的密碼,使用四個字元組合中的三個字元組,也就是大寫、小寫、數字和特殊字元。這是 IT 安全策略最佳實務中所需的典型密碼類型。最常見的複雜密碼長度為 8 個字元。

原則上,電腦需要花費很多年的時間,才能猜出如此複雜的密碼。除了所選密碼的隨機性 (或熵) 之外,受密碼防護的檔案並無其他預防密碼被猜中的措施。

現今電腦和工具

現今的電腦每秒可以猜出 10 億組以上的密碼。與最初引入檔案密碼保護時的技術相比,這方面的技術已經有了巨大的進步。

網路犯罪者如何破解受密碼防護的檔案?

網際網路上有許多免費工具可用於移除 Excel 或 Acrobat 檔案中的密碼。具有特殊安全加密的檔案會成為付費工具的目標,這些工具可以使用單台電腦來攻擊受密碼防護的檔案,對於決心鎖定高價值資料的攻擊者來說,也可以加碼到使用一千台以上連網電腦來進行攻擊。在這些功能強大的工具中,有些銷售主打稱其為執法單位的鑑識工具,但這些工具非常易於取得,只要使用信用卡購買並下載即可。

根據 Home Security Heroes 介紹,一個人工智慧技術的密碼破解工具可以在幾分鐘內破解常見的 8 個字元複雜密碼,最長也只需要 7 個小時。有了連網電腦,針對單個受密碼防護檔案的暴力攻擊,就可以在更短時間內完成。

如何防護行動資料

Kingston IronKey Vault Privacy 50 USB 隨身碟插在桌上的多連接埠集線器中,並連接到辦公室電腦。

在這點上,如果檔案被攔截,或包含該檔案附件或檔案的伺服器受被入侵,任何透過電子方式傳輸敏感資料的行為,很顯然都會受到攻擊。儲存在雲端 (任何型態雲端) 上的加密檔案也是如此,都必須仰賴軟體加密。如果有人取得受密碼防護的檔案,他們就可以使用針對該檔案類型客製化的軟體,對其進行暴力攻擊。

降低這種風險的解決方案是將資料「脫離網路」或加以「隔離」。資料可以儲存在未連接到網際網路的電腦上,也可以透過有針對暴力密碼攻擊進行強化防護的媒體進行傳輸。這樣做可能很麻煩,但這種緩解措施與資料的價值相關,某些類型的資料外洩可能會造成數百萬美元的損失,外加高昂的法律費用與和解金,這個代價高低與丟失資料內容有相關性。例如,一旦遺失內有詳細資訊的客戶帳號試算表,可能會對企業造成重大損害。如果法律案件中所使用的客戶 IP 詳細資料遺失並在暗網上出售,可能會對公司造成嚴重損害。

有一種價格低廉的行動資料解決方案,可以解決這個問題:硬體型加密 USB 隨身碟或 SSD 固態硬碟。其擁有一個獨立的硬體型安全生態系統,可防禦密碼攻擊,並使用隨時啟用中的 AES-256 位元加密,這種加密方式尚未發現外洩問題。請務必向知名且值得信賴的製造商採購此類儲存裝置,網路上銷售的廉價磁碟可能無法正確地達到密碼安全性或正確執行加密功能。

硬體型加密 USB 隨身碟或外接式 SSD 固態硬碟 (例如 Kingston IronKey 磁碟) 並非一般的 USB 隨身碟或 SSD 固態硬碟。它們是打從一開始就針對資料防護裝置所量身打造,使用以安全性為主要設計目標的專用控制器。這些磁碟可提供企業級安全性和軍用級安全性 (其中增加了 NIST 的 FIPS 140-3 3 級認證,NIST 是建立 AES-256 位元加密技術,並為美國政府機構制定標準的美國政府機構)。20 多年來,Kingston 一直致力於為全球企業和政府設計並製造硬體型加密磁碟。

有效的暴力攻擊防護

對 IronKey 磁碟的所有存取都經過安全微處理器進行路由。為了允許存取資料,安全微處理器需要使用磁碟上的鍵盤輸入有效密碼或 PIN 碼。安全微處理器會計算密碼失敗重試次數 (如果您曾經重置過手機密碼,就會知道這種運作模式)。IronKey 磁碟允許使用多重密碼:管理員密碼、使用者密碼和一次性重置密碼。若一次性重置或使用者密碼連續輸入錯誤 10 次,磁碟將鎖定密碼。如果主要管理員密碼連續輸入錯誤 10 次,安全微處理器將進入資料自毀模式,也就是執行加密擦除所有加密參數、格式化資料儲存,並將磁碟重置成出廠狀態。此時,先前儲存在磁碟上的資料將永遠遺失。這是對於您敏感資料所需的針對大多數攻擊類型防禦措施。

防護敏感資料的最佳實務

不幸的是,以電子郵件或發布到雲端伺服器上的電子傳輸方式,都可能導致受密碼防護的檔案資料外洩,因為檔案本身無法受到現今人工智慧和電腦技術的防護。行動資料的最佳安全性要求是您能掌控的實體傳輸,也就是在您的口袋中或包包裡。然後,就可以分享給對方。或者,您可以將磁碟寄給您的客戶/合作夥伴,並告訴他們如何存取資料。可以將磁碟留在客戶/合作夥伴手中,以確保資料安全並脫離網路。儲存容量高達 8TB 的 IronKey 外接式 SSD 固態硬碟,可針對從律師事務所到醫療或金融服務提供者等一系列專業人士,提供強大的安全性。

許多製造商不再以電子郵件寄送重要的智慧財產權文件和詳細資料,而是將 IronKey 磁碟寄送至其他人手中 (通常位於不同國家/地區),並隨後提供存取資料的相關說明。IronKey 磁碟可讓管理員角色設定全域唯讀模式,防止以使用者密碼存取檔案時對檔案進行任何變更。

IronKey 磁碟遵循 CIA Triad 的最佳實務,這是一種價格低廉的保險方式,可確保您的敏感資料安全無虞,並盡可能地受到最好的商業防護。歸根究柢,這一切都取決於您對您的資訊所認定的價值。

電路板晶片組上的 Kingston 諮詢專家圖示

請教專家

要規劃適當的解決方案需要對專案目標有通盤了解。讓 Kingston 專家引導您完成作業。

請教專家

相關文章