電腦玩物

相信大家在新聞上都有看過「 某個網站的大量用戶帳號密碼外洩、被駭 」的消息，尤其知名網站的帳密資料外洩，總是讓每個用戶人心惶惶，因為可能我們也有這些網站的帳號密碼，而不確定自己的用戶資料是否在外洩名單中。 這些重要的外洩事件發生時，通常網路上也會出現一些「檢查工具」，讓你檢查自己有沒有在洩漏名單中。

今天看到 國內外新聞紛紛報導 ， 有安全公司揭發了一個竊盜約 200 萬組大小網站密碼的案件，這些被竊的用戶密碼裡以 Facebook、 Google、 Yahoo 和 Twitter 為大宗。 至於盜竊的方法，可能是利用植入用戶個人電腦中的惡意軟體，來紀錄你的密碼輸入。要注意，這僅僅只是各式各樣和雲端帳號安全有關的案件之一。 其實，在我們的日常生活中，應該也常常看到類似這樣臉書帳號被盜用的案例，也有許多新聞報導提到像是釣魚網站、駭客入侵等等事件，似乎無時無刻都有帳密被盜的事件發生。雲端服務只要用「帳號」和「密碼」就能在任何電腦登入使用，也讓一旦帳密被竊取後，風險加大。 而且帳密被盜和是否使用複雜的密碼沒有絕對關係，如果透過釣魚網站、廣告詐騙、惡意軟體偷盜你的密碼，那麼密碼多複雜也一樣立刻被他人獲取。唯一可能比較有幫助的，就是盡量每個網站使用不同的帳號密碼，以免擴散影響，可是這其實對一般用戶來說，難度也很大（但願意認真研究的朋友，歡迎試試看「 KeePass 」這類軟體）。

我記得幾年前朋友曾經遇到類似問題：在重灌電腦後，因為等於重新安裝 IE 瀏覽器，導致之前自動儲存在瀏覽器中的密碼都不見了，有些不常用的網站密碼後續就發生想不起來的窘境。這幾年， Google Chrome、 Firefox 都可以幫你同步備份瀏覽器記住的密碼到雲端與每台電腦，倒是不會再有上述問題發生。 但是，這樣的舉動真的夠安全嗎？ 這幾天，國外科技圈熱烈討論的話題之一就是 Google Chrome 瀏覽器在儲存你的網站密碼時，使用可以輕易顯示為明碼的方式儲存，也就是任何跟你使用同一台電腦的人，都能知道你每個網站存下來的密碼是什麼（參考： Chrome’s insane password security strategy ）。 這不是 BUG，因為有些用戶真的需要這樣的功能來「找回」自己的密碼，然而這也值得我們去思考， 儲存每個網站帳號密碼的需求，真的只能用相對不安全的瀏覽器來儲存嗎？還是 有更好的儲存方式 ？