gmail被駭？ - Google

※ 引述《MeepokC (歹夢盜者)》之銘言：
: 話說，今天早上一大早起來準備要收gmail，
: 沒想到反而是顯示要重新設定密碼跟手機號碼認證，
: 設定好新的密碼後，進入收信夾才知道，原來gmail被駭了，
: 在今日凌晨五點多的時候，瘋狂的發信～雖然看起來都是被退件，
: 但是心裡還是覺得很悶。~"~
: 同時提醒版友，沒事有事定期更換密碼吧！
: 同時發文在Mobile01上，也附上圖（有圖有證據）。
: http://www.mobile01.com/topicdetail.php?f=481&t=2089820&last=26964580


借這篇文章，聊一下最近常在朋友圈中看到的狀況。

現在註冊網站的服務，都會要 email 認證。

多數人，在該網站的登入密碼，會跟登入 email 的密碼一樣。

簡單講，去 www.foo.com 註冊新帳號，帳號是 account，密碼是 password，接著
www.foo.com 跟你要 email 信箱認證，你告訴他是 [email protected]。

如果你的 [email protected] 的登入密碼，也是 password！

那麼你註冊的一大堆網站裡面，只要有一個網站內控不好，他就可以用你的「密碼」
和「[email protected]」，登入你的 gmail 信箱、facebook、噗浪 ......

有些網站可以用 openID 的方式登入，那它就不需要知道你的密碼，相對安全一些。

登入一個新網站後，最後用一下「忘記密碼」的功能，如果該網站可以把原始密碼
回覆給你，代表該網站是用明碼儲存使用者密碼，非常危險。

或者不要那麼辛苦，跑去偷資料庫的密碼，現在智慧手機很流行，大家都愛亂連來
路不明的 wifi 熱點，只要自己架一個不用密碼的 wifi 熱點，就可以搜集到一大
堆帳號跟密碼了。

這樣也太辛苦，再簡單一點，找個人多的地方，用個收聽 wifi 的儀器，就可以聽
到一大堆沒有加密傳輸的 wifi 訊號，裡面一樣一大堆帳號密碼。

不是針對原 po，只是這樣的狀況絕非罕見。

=====

回到 Google 點。

Google 街景車大街小巷跑一圈，收集 wifi 訊號，目的應該是要做定位的服務，結
果一撈就順便撈到一大堆帳號跟密碼，不知道要怪 Google 的耳朵太好，還是講悄悄
話的人音量太大了。

然後從中國民運人士的 Gmail 事件之後，Google 就很認真的把旗下服務都加上了
https，至少可以避免帳號、密碼被聽到。

=====

常常改密碼，其實並不見得是好方法，會怕忘記新密碼，到後來密碼會愈來愈簡單。

建議的方法是，要把密碼分級。

例如：最重要的密碼、很重要的密碼、重要的密碼、不怎麼重要的密碼、不需要密碼的密碼。

對我來說，「最重要的密碼」是公司一堆 server 的密碼，那些密碼只會用在 server
上面，其他地方絕對不會出現。

「很重要的密碼」是 gmail 的密碼，常常會用到，所以不能太難記。

「重要的密碼」，例如 facebook、plurk。

「不怎麼重要的密碼」，例如 ptt、pchome shopping 之類。

「不需要密碼的密碼」，就忽然出現，需要註冊的網站，都先放這個 level。

這樣可以控管「當密碼不幸外洩」時，災害可能會發生在哪邊。

=====

再回到 Google。

如果你有用智慧手機的話，可以到 Google Accounts 打開「使用兩步驟驗證」，當從
陌生的電腦登入你 Google 帳戶時，會要求你從手機上的 Google Authenticator 確認
密碼。

詳情可以看 http://goo.gl/N9czE 。

如果你的 Google Accounts 看不到「使用兩步驟驗證」，把 URL 改成

https://www.google.com/accounts/ManageAccount?hl=en

就可以看到「Using 2-step verification」。

似乎不是所有帳號都可以看到這東西。

=====

大家對網路的依賴愈來愈深，所以資訊安全也該好好推廣了。


--