2013年12月5日 星期四

當200萬社群網站密碼被盜,你如何簡單保護雲端帳戶安全?

今天看到國內外新聞紛紛報導有安全公司揭發了一個竊盜約 200 萬組大小網站密碼的案件,這些被竊的用戶密碼裡以 Facebook、 Google、 Yahoo 和 Twitter 為大宗。至於盜竊的方法,可能是利用植入用戶個人電腦中的惡意軟體,來紀錄你的密碼輸入。要注意,這僅僅只是各式各樣和雲端帳號安全有關的案件之一。

其實,在我們的日常生活中,應該也常常看到類似這樣臉書帳號被盜用的案例,也有許多新聞報導提到像是釣魚網站、駭客入侵等等事件,似乎無時無刻都有帳密被盜的事件發生。雲端服務只要用「帳號」和「密碼」就能在任何電腦登入使用,也讓一旦帳密被竊取後,風險加大。

而且帳密被盜和是否使用複雜的密碼沒有絕對關係,如果透過釣魚網站、廣告詐騙、惡意軟體偷盜你的密碼,那麼密碼多複雜也一樣立刻被他人獲取。唯一可能比較有幫助的,就是盡量每個網站使用不同的帳號密碼,以免擴散影響,可是這其實對一般用戶來說,難度也很大(但願意認真研究的朋友,歡迎試試看「 KeePass 」這類軟體)。




  • 無法「完全」阻止帳密被盜,但可以阻止被登入帳號
即使我們有很好的使用觀念、有安裝防毒軟體,不在公共無線網路區域隨意上網,但是,人難免有粗心意外的時候,在帳密安全上,一旦失足一次就真的可能是千古的遺恨,而且連我都不敢說我一定每一次都那麼小心不會誤載、誤點惡意軟體。

但也不是沒有解套的好辦法,那就是使用重點雲端服務都有提供的「帳號兩步驟驗證」機制。

「帳號兩步驟驗證」,就是當我要在「一台新的電腦」登入網站時,先輸入我的帳號密碼,正確後還不能馬上登入,必須透過裝著只有自己擁有的 SIM 卡的手機,接收一個簡訊或 App 提供的「第二步驗證碼」,當第二步也通過後,才能登入網站。

這個安全步驟,就讓前面的密碼被盜失效,因為沒有人可以在一台新的電腦登入我的帳號,除非他同時偷到我手上的這台手機。這也讓我在中毒、被盜後,有足夠的時間重新修改密碼。

例如在一台新電腦登入 Evernote,首先幫然是要輸入自己的帳號密碼。
但是通過後,還需要第二步驗證,也就是只有你自己手上手機可以收到的代碼,這樣就保護了你的帳號安全。
兩步驟驗證的代碼,可以用簡訊收,也可以用手機上可以安裝的 Google Authenticator 產生,無論哪一種,都「只有你這台手機可以收到」。而且代碼隨時變化,無法被盜取。




  • 雲端服務的安全,不再只是保管複雜密碼而已
但是在我於各種場合分享雲端服務的應用時,我總會問在場的朋友,有誰有在使用「帳號兩步驟驗證」?

通常這個比例都非常低,就算是在面對應該更習慣使用科技工具的朋友時,也很少有超過一半以上的人會開啟帳號兩步驟驗證。

沒事,當然都好。可是從各種新聞案件中,可以發現雲端帳號的保護不再只是「保護我自己的帳號密碼」這麼簡單而已,因為真正惡意的手法並不一定要猜你的帳密,而是利用各種社交陷阱來誘使你安裝惡意軟體,這時候,人性讓我覺得很難保證自己會永遠躲開每一次的考驗。




  • 保護帳號安全,開啟「兩步驟驗證」沒有那麼麻煩
不使用「帳號兩步驟驗證」的原因,除了有些朋友是還不知道外,其他朋友則是「怕麻煩」,或是「怕開啟後反而無法登入自己的帳號」。

關於「怕麻煩」這一點,在自己貼身使用的電腦上(例如家裡或辦公室),當第一次需要兩步驟驗證登入時,可以在輸入第二步驗證碼後,讓電腦記住你,這樣以後在貼身電腦上就不用每一次都兩步驟驗證。

你可以在自己貼身電腦登入時,勾選「記下這台電腦的驗證狀態」,這樣就不用每次都要兩步驟驗證。

如果是「怕開啟後反而無法登入自己的帳號」,那麼其實雲端服務在你開啟兩步驟帳號驗證後,都會提供你一組「救命密碼」,每個只能使用一次,你要貼身保管好,這樣以後例如你的手機掉了、換電話號碼結果認證不成功等等,總之在沒有手機的情況下,也可以用這幾個只有你自己知道的「救命密碼」來登入帳號。

關於救命密碼,請參考:開啟帳號防盜兩步驟驗證結果無法登入?備援方法教學




  • 怎麼開啟各大雲端服務的帳號兩步驟驗證,最簡單教學
如果你一切尚未開始,但真的覺得應該來試試看帳號兩步驟驗證,讓自己的雲端使用安全也安心的話,下面我提供最快入手的方法。




1. Google 帳號要開啟兩步驟驗證,只要進入「帳號安全性頁面」,進行開啟即可,每一步驟都會有詳細解說,教你怎麼設定,建議第一次使用的朋友一定要好好看一遍。

或者延伸參考:啟動 Google帳戶 兩步驟驗證功能,中文版安全自保流程教學




2. 使用 Facebook 的朋友要開啟帳號兩步驟驗證,只要進入「帳號設定」的「帳號保安」,找到「登入許可」項目並勾選要求安全密碼即可,也有中文的詳細步驟解說。

或者歡迎延伸參考:Facebook帳號保安的手機簡訊認證教學,開啟登入許可雙重驗證




3. Evernote 用戶則是登入網頁版,在右上方進入帳號設定,在「安全性摘要」頁面就可以開啟「兩步驟驗證」。

當然也可以參考我寫過得詳細教學:Evernote 開始新增帳戶兩步驟驗證登入,保護筆記安全




4. Dropbox 一樣有帳號兩步驟驗證,登入 Dropbox 網頁版,從右上方進入帳號設定,在「安全性頁面」中,啟動兩步驟驗證即可。

也歡迎參考我寫過的詳細教學:Dropbox 兩步驗證帳號安全功能推出!搶先實際測試心得




5. 微軟的 SkyDrive、 Office Web 等雲端服務愈做愈好,我們一樣要注意微軟雲端服務的帳號安全,在登入帳戶設定後,在「安全性資訊」頁面就能開啟兩步驟驗證。

詳細說明也可以參考我的教學:Microsoft 帳戶兩步驟驗證教學,保護 Skype 等帳號安全




6. 其實, Yahoo 帳號也可以在帳號設定中開啟「二次登入驗證」。

在這樣的網路時代裡,如果你有使用上述的雲端服務,並且認為這些服務對你來說夠重要,那麼保護安全的「目前最好可行辦法」,就是開啟兩步驟驗證。




25 則留言 :

  1. Facebook似乎要設定手機門號才能繼續相關安全設定

    Dropbox要注意電腦端,退出而非登出的時候,很容易被旁人開啟網頁查看帳戶

    回覆刪除
    回覆
    1. 兩步驟驗證一定都要設定手機門號的

      刪除
  2. Yahoo 不開比較好,簡訊浪費錢!

    因為他不能用驗證器................................................................................................

    其他收個一兩次設定好驗證器就 OK 了

    回覆刪除
  3. 請問簡訊費用誰負擔呢??

    回覆刪除
    回覆
    1. 如果是透過簡訊(因為也可以透過 App),那麼是用戶自己負擔(不過正常使用下,就像文章裡說的,你的常用電腦都可以設定不需驗證,所以不用每天在收簡訊)

      刪除
    2. 請問簡訊費用自行負擔是最近修正的嗎?因為之前我每天收google驗證簡訊似乎沒有收費喔。

      刪除
    3. 這個問題可以先思考是否是電信商的月租費率已經包含簡訊費折抵

      刪除
    4. 現在其實大家都很少真的傳簡訊(因為有網路即時通),所以電信商每個月月租費的簡訊折抵應該就用不完

      刪除
  4. 自動奉上手機號給面書,老軟和谷狗, 然後祈求他們來"保護"我(手機號)的私隱?

    回覆刪除
    回覆
    1. 呵呵,這個邏輯反了吧?因為你已經先使用他們的服務啊~如果你都用了,難道不保護自己的帳號安全?

      刪除
    2. 可以這麼想:驗證必需透過獨一無二的管道發揮功效,倘若不是如此怎麼保證只有使用者自己能讀取,試想什麼是獨一無二的,這就是透過手機的理由了

      刪除
  5. 我就是懶得設定的那一群,不過我是有在用keepass管理密碼就是了。密碼建議能多幾個特殊字元可避免被暴力破解的可能性降低許多。

    回覆刪除
    回覆
    1. 是的,其實我一直也用 KeePass 管理,不過最近真的會擔心,其實現在的問題已經不只是會不會被暴力破解而已^^

      刪除
    2. 帳密都被盜了,密碼設多長多難有什麼用。

      刪除
  6. 所有密碼和備用碼都放在 KeePass 上,最危險的會不會變成 KeePass 被破解XDD

    回覆刪除
    回覆
    1. 如果 KeePass 被破解,那可能表示有一個人真的「針對你」想要盜取你的機密資料。(因為KeePass 是單機軟體,而且有一個你自己可以保管的加密金鑰機制)

      不過這對一般人來說,應該是很難發生的電影情節。

      刪除
    2. 真的用 KeePass 存很多密碼的人應該是多點同步,電腦、筆電、平板電腦、智慧型手機上都會有資料庫和金鑰檔案,這大概不會只是「單機程式」。

      刪除
    3. 金鑰可以單獨儲存或偽裝

      刪除
  7. 如人在國外,驗證用手機未開通漫遊,使用者如何進入電腦?

    回覆刪除
    回覆
    1. 有兩種可行辦法:
      1.使用 App 驗證,例如我文章裡舉例那樣。這個 App 是可以離線使用的。
      2.使用我文章裡提到的「救命密碼」。

      刪除
  8. http://forum.moztw.org/viewtopic.php?f=7&t=40687

    回覆刪除
  9. 站長您好:拜讀了大作100個做筆記的好方法,這的確能在工作及生活中帶來很大的「整理」便利。但是有一個問題請教,在evernote中好像只有電腦版的可以設定段落加密,在android平板中似乎找不到這個功能,但是大部份的idea都是從行動裝置而來,又不希望私人的紀錄被其它人看到。比如一個名為日記的筆記本,有沒有辦法加密呢?謝謝!

    回覆刪除
    回覆
    1. 可以回到電腦端整理時再加密啊^^ Android 端確實做不到

      刪除

相關文章: