最近接連有帳號被盜的事件被揭發,先是 Google Play 上有大量帳號被盜用信用卡,後來再發生大量 LINE 用家帳號被盜購買點數咭事件、再到以再發生小米論壇有 800 萬個用戶的帳戶被盜、至最近的 eBay 失守。這一陣串事件意味著現時的資訊保安防範非常不足,每人的帳號密碼都未能受到有效保障,有隨時被盜的風險。下文將會講解一下最近接連發生的帳號被盜事件,以及一些自保秘訣。
HEARTBLEED 爆發,被盜事件急升
其實帳號被盜的事件時有發生,但為何最近異常頻密?直接與間接原因均有可能,導火線更可能是月前爆出 Heartbleed 漏洞。Heartbleed 早於 2011 年已經存在,黑客透過向伺服器發出特殊的指令以盜取用戶的帳號。然而這個漏洞在今年 4 月才曝光,各大服務供應商之後才開始著手修補,知情的黑客其實可能在這 3 年間,已可取得極大量的用戶資料。
事件曝光後,帶來一輪「改密碼」潮,部份不法份子可能更著急地賺錢,某程度形成了催化劑,令盜用帳號的情況更為猖狂。
[divider]
基本傳統帳戶保安法 :
2 步認證
在上一篇於主站 unwire.hk 刊登關於 Google Play 被盜的文章,已提及過幾式防盜技巧,不過那時針對 Google Play 單一服務為主,對於眾多服務被盜未算全面,以下我們 unwire.pro 就提供覆蓋更多服務的保安方案。
以二步認證保護各服務帳號
在上一篇文章我們提及過,Google 的二步認證可為 Google 帳號提供手機驗證保安功能,在新裝置登入時都需輸入傳送至用戶手機的驗證碼,增加黑客入侵的難度。而登記過的裝置,其後也不需再度輸入,並不會因二步認證而帶來太大的不便。其實除 Google 外,不少大型服務都有提供二步認證功能,詳情如下:
Facebook 的二步認證名為「登入許可」,在設定中的「帳戶保安」就可找到,可使用 SMS、Facebook App 或 Google Authenticator。筆者強烈建議注重個人型象的商界朋友必定要使用,近來有疑似「打手」駭入目標的 Facebook 帳號,然後對成人網站內容讚好及分享,讓受害者的專業形象甚至其企業形象受損。
設定地址:https://www.facebook.com/settings
Twitter 亦可在「安全性與隱權」頁面中設定「登入認證」,可以選擇透過 SMS 或 Twitter App 來認證。不過筆者測試時發現,有可能未能支援本地供應商的 SMS 服務。
設定地址:https://twitter.com/settings/security
Dropbox
Dropbox 除個人相片外,還有可能保存了一些包含個人私穩的檔案,甚至是公司的內部文件,所以保安也尤其重要。在其設定頁的「安全性」就可設定兩步驗證碼,可使用 SMS 或 Google Authenticator。
地址:https://www.dropbox.com/account#security
Microsoft
Microsoft 的帳號亦有兩步驗證,在設定中的「安全性和密碼」就可找到。雖然它希望用戶配合 Windows Phone 來使用,不過實際上也可配合 Google Authenticator 使用。
地址:https://account.live.com/proofs/Manage
Apple ID (香港未能使用)
另外,Apple ID 其實亦有提供二步認證,可惜現時只支援歐美、日本等國家使用,香港及台灣帳號仍未有此功能。
除了以上服務,還有不少其他服務都有提供二步認證,例如 Yahoo、WordPress 等等,多數都可在服務的設定頁內找到相關項目。
2. 重設具保安性高的密碼
密碼守則1: 沒有重覆
避免使用相當密碼其實是個很基本的概念,因為一旦使用相當的密碼,黑客駭進了閣下的 Gmail 後,就可以很容易連環將受害人的 Hotmail、Apple ID 等等的帳戶輕易爆破。但知易難行,若每個服務都要設置一組新密碼,往往會令人頭昏腦脹,就算成功達成,亦會轉個頭便忘記掉。筆者在此提供兩種方法:
- 最原始的是用紙筆寫下來,收藏於細小的筆記本或紙張上,隨身攜帶;
- 加入簡單的聯想法設定密碼。例如本身密碼為 “abc123″,而當初申請 Gmail 是為了寄求職信,就可將密碼設定為 “abc123resume”。聯想法會比「死記」較易記憶,而且解讀方式亦只有自己知道。
- 使用 LassPass、KeePass 或 RoboForm 等服務。
密碼守則2 : 由亂數大細階及符號組合
我們設定密碼的概念多源自身邊的事物及聯想,例如年少時的暱稱、追捧的球隊、喜歡的電影等,有需要時再夾雜出生年份、重要日子、電話號碼等等。如果黑客有意從各種途徑得悉閣下的喜好、個人資料,甚至他本身是你熟悉的人,透過在暴力破解設定一堆有可能性的關鍵字,那密碼有可能被簡單解開。
要設定一組沒有弱點的密碼,其實以亂數產生、具一定長度以及使用毫無意思的數字、混合大小階、符號組成,就更為理想。不過這樣會產生一個嚴重問題:就是連本人也沒辦法記住,就算能記得一組,也難以記下其餘的。
….產生難題 : 難於記憶,不便使用
相信只有為數不多的人能夠遵以上兩大守則,因為難以記憶及容易掉失,反會造成自己不便,如果將所有密碼記錄在一個地方則更為危險,成功破解一個帳戶就能知道所有的密碼,以下我們為 unwire.pro 介紹的兩全其美的方法:
[divider]
解決方案:
LastPass 密碼保險箱 + Google Authenticator 二重登入
此時,其實我們可使用兩個服務組合達到最理想的效果。第一個就是密碼保險箱服務,把所有服務的密碼,以亂數隨機產生,然後以一組 Master Key 鎖上這些服務的帳號及密碼,當有需要時只需輸入登入保險箱,就可自動填上服務的密碼。這樣做就可令所有服務的密碼更為穩固,而且用戶只需記下一組 Master Key 而已。
不過此時亦會產生問題,就是一旦這個密碼保險箱的帳號及 Master Key 被黑客取得,那就會變成大災難,因為在內所有服務的帳號都會被黑客取得。所以,第二個認證服務在此時起了關鍵作用,只需要每個服務都使用 Google Authenticator 進行手機認證,那就可多方面確保安全。
雙重保安方案的好處:
- 不用每個服務也自己想密碼
- 很難被黑客破解到
- 可自動填寫帳號及密碼
- 就算保險箱被爆,也有 Google Authenticator 作第二道防線
設定示範:
▲以 Chrome (PC) 為例,安裝 LastPass 後在右上角將可看到插件按鈕,申請帳號及登入就可使用,按鈕會變為紅色。
▲如常的登入所需服務,之後可進行密碼變更。在設定密碼時,欄目右方將出現按鈕,按下去就可使用隨機密碼,更可自設長度。
▲設定密碼後進行儲存,就可記錄在 LastPass 內。當日登入時,都可從 LastPass 取得帳號資料,自動填入帳號及密碼。
▲申請新服務時亦不例外,同樣可讓 LastPass 隨機產生一個十足強度的密碼,儲存後不需自己記憶。
緊記!
設定使用 LastPass 2 步認證
這一步非常重要 ,萬一 LastPass 的密碼被盜你可能會全部密碼被人知道,所以必需要設定 2 步認證!!! ,登入 lastpass 網站你的帳戶,選擇多因素選項,再選擇 Google 驗證器。然後拿你已安裝好的 google 驗證器掃瞄一下條碼使可使用,緊記下方 Google 驗證器驗證選「啟用」。
設定自動登出
這一步很重要,如果你電腦有可能被其他人使用,最好設定自動登出及自動閒置登出,以防你不在電腦前被其他人乘機打開抄下密碼,同時避免非法的遙距控制。
雙重保安
其實如上述所說 LastPass + 2 步認證登入 Lastpass -> 自動填寫網站的亂數密碼 -> 登帳戶的 email 有 2 步認證的話,基本上保安性已經足夠。如果還是放心不下,可以再設多一重2步認證。筆者自己的分類如下 :
- 可使用 google Authenticator 的服務 -> 使用可記的密碼
- 不能使用 google Authenticator 的服務 -> 使用上面 Lastpass 方案
例如 Facebook 可以開啟使用 Google Authenticator,如此一來我已經不需擔心密碼被盜,因為就算對方知道你密碼亦無法通過 google authenticator 認證
Google Authenticator 簡單連繫 -Google / Facebook / Dropbox / Microsoft 二重認證
當設定好 LastPass 後,就輪到使用 Google Authenticator 進行二步認證,以下就以 Facebook 為例進行示範。現時很多重要服務都支援 Google Authenticator,如果有不支援的話,也建議使用 SMS 進行二步認證 (如有)。
▲要在其他服務連繫至 Google Authenticator 十分簡單,多數都會在服務設定內的安全性頁提供。以 Facebook 為例,設定完「登入許可」後,再設定「代碼產生器」,就會出現專用的 QRCODE。
▲在手機打開 Google Authenticator,按「設定帳戶」的「掃瞄條碼」,掃瞄網頁上的 QRCODE,取得認證碼並輸入回網頁,就可連繫成功。
▲如是者日後就可靠 App 進行認證,其加入其他服務。每組認證號碼都會隨時間不斷失效、不斷產生,安全性十足!
[divider]
切勿相信 SMS 雙重認證法
雙重認證方法有許多,有一些服務只提供 SMS 驗證,這是不可信的。因為某些電訊商提供「SMS飛線」服務,如果你手機使用的台管理網頁/語音系統亦使用同一密碼,不法份子就可以一併把 SMS 飛到自己手機手中進行 2 步認證法,因此使用 Google 的 Authenicator 保安性較佳。
[divider]
LastPass 手機版
LastPass 也有手機版本,使用自家的手機瀏覽器,提供各種密碼服務。不過必需要注意手機版屬收費軟件, iOS 版需使用 Premium 帳號,而 Android 版亦只有 14 日試用期,稍後亦需收費。
其他問題:手機 App 打密碼 & 設定應用程式密碼
使用此終極方案雖然保安,不過會有少許麻煩問題就是如在手機 App 登入帳號,初次就需要在電腦參照那亂數產生的密碼。另外任何分支服務如不支援二步認證 (例如 Hotmail 帳號其實與 Xbox 一樣,但 Xbox 沒有二步認證) ,此時就需要在該服務頁設定「應用程式密碼」,以一組專用密碼來進行登入。
番外篇-LINE 保安有法
以上保安方案都針對電腦使用,本身是手機 App 的 LINE,自然也難以使用 LastPass 及 Google Authenticator。針對最近 LINE 被盜事件越來越多,我們可進行以下一些應對:
1. 斷開 Facebook 連繫
▲LINE 能使用多種方法登入,當中 Facebook 認證有機會被黑客看中,台灣 LINE 副總亦表示盡可能暫時解除 Facebook 綁定。 除此之外,如果不打算使用電腦版 LINE,可把「允許自其他裝置登入」也取消掉。
2. 不公開自己 ID
▲暫時未知黑客群從何處著手入侵 LINE 群組。可選擇不公開自己的 ID,減少中招機會。
3. 設定換機密碼
▲設定換機號碼可有效防止被人在別的手機使用你的 LINE 帳號。換機時如使用同一電話號碼,LINE 並不會要求輸入此密碼。
4. 以 QRCODE 登入電腦版
▲黑客有機會從 KeyLogger 程式,套取用戶在電腦版輸入的帳號及密碼。以 QRCODE 來登入就可避免被竊聽到密碼。
5. 以 PIN CODE 登入電腦版
▲現時電腦版 LINE 其實已進行了更新,在新裝置首次登入時,將需要使用手機版 LINE 進行二步認證。
補充資料: 各大服務齊中招 !
GOOGLE:
早前相當嚴重的 Google Play 帳號被盜事件,受害者信用卡被黑客狂「碌」,每每損失數千元。本網報導後亦有不少讀者在 Facebook 及網站留言,指自己也有中招。
LINE:
黑客取得帳號後,會在好友列表向受害者朋友埋手,要求幫手購買遊戲點數。此類型犯案手法其實早於 MSN 年代已有,如今在手機平台亦不倖免。報料人 Takki 指,不常用 LINE、沒有使用 Desktop 版本,單是手機有裝 App 及持有帳號,已經被入侵了。
小米帳號:
雖說小米是論壇被黑客入侵,不過小米帳號其實與 Google 帳號類似,同樣是一個帳號打通其他小米服務。所以使用小米手機、MIUI 的亦會中招。內裡的私人資料被盜取,當中包含信用卡資料也有可能。