※ 引述《MeepokC (歹夢盜者)》之銘言:
: 話說,今天早上一大早起來準備要收gmail,
: 沒想到反而是顯示要重新設定密碼跟手機號碼認證,
: 設定好新的密碼後,進入收信夾才知道,原來gmail被駭了,
: 在今日凌晨五點多的時候,瘋狂的發信~雖然看起來都是被退件,
: 但是心裡還是覺得很悶。~"~
: 同時提醒版友,沒事有事定期更換密碼吧!
: 同時發文在Mobile01上,也附上圖(有圖有證據)。
: http://www.mobile01.com/topicdetail.php?f=481&t=2089820&last=26964580
借這篇文章,聊一下最近常在朋友圈中看到的狀況。
現在註冊網站的服務,都會要 email 認證。
多數人,在該網站的登入密碼,會跟登入 email 的密碼一樣。
簡單講,去 www.foo.com 註冊新帳號,帳號是 account,密碼是 password,接著
www.foo.com 跟你要 email 信箱認證,你告訴他是 [email protected]。
如果你的 [email protected] 的登入密碼,也是 password!
那麼你註冊的一大堆網站裡面,只要有一個網站內控不好,他就可以用你的「密碼」
和「[email protected]」,登入你的 gmail 信箱、facebook、噗浪 ......
有些網站可以用 openID 的方式登入,那它就不需要知道你的密碼,相對安全一些。
登入一個新網站後,最後用一下「忘記密碼」的功能,如果該網站可以把原始密碼
回覆給你,代表該網站是用明碼儲存使用者密碼,非常危險。
或者不要那麼辛苦,跑去偷資料庫的密碼,現在智慧手機很流行,大家都愛亂連來
路不明的 wifi 熱點,只要自己架一個不用密碼的 wifi 熱點,就可以搜集到一大
堆帳號跟密碼了。
這樣也太辛苦,再簡單一點,找個人多的地方,用個收聽 wifi 的儀器,就可以聽
到一大堆沒有加密傳輸的 wifi 訊號,裡面一樣一大堆帳號密碼。
不是針對原 po,只是這樣的狀況絕非罕見。
=====
回到 Google 點。
Google 街景車大街小巷跑一圈,收集 wifi 訊號,目的應該是要做定位的服務,結
果一撈就順便撈到一大堆帳號跟密碼,不知道要怪 Google 的耳朵太好,還是講悄悄
話的人音量太大了。
然後從中國民運人士的 Gmail 事件之後,Google 就很認真的把旗下服務都加上了
https,至少可以避免帳號、密碼被聽到。
=====
常常改密碼,其實並不見得是好方法,會怕忘記新密碼,到後來密碼會愈來愈簡單。
建議的方法是,要把密碼分級。
例如:最重要的密碼、很重要的密碼、重要的密碼、不怎麼重要的密碼、不需要密碼的密碼。
對我來說,「最重要的密碼」是公司一堆 server 的密碼,那些密碼只會用在 server
上面,其他地方絕對不會出現。
「很重要的密碼」是 gmail 的密碼,常常會用到,所以不能太難記。
「重要的密碼」,例如 facebook、plurk。
「不怎麼重要的密碼」,例如 ptt、pchome shopping 之類。
「不需要密碼的密碼」,就忽然出現,需要註冊的網站,都先放這個 level。
這樣可以控管「當密碼不幸外洩」時,災害可能會發生在哪邊。
=====
再回到 Google。
如果你有用智慧手機的話,可以到 Google Accounts 打開「使用兩步驟驗證」,當從
陌生的電腦登入你 Google 帳戶時,會要求你從手機上的 Google Authenticator 確認
密碼。
詳情可以看 http://goo.gl/N9czE 。
如果你的 Google Accounts 看不到「使用兩步驟驗證」,把 URL 改成
https://www.google.com/accounts/ManageAccount?hl=en
就可以看到「Using 2-step verification」。
似乎不是所有帳號都可以看到這東西。
=====
大家對網路的依賴愈來愈深,所以資訊安全也該好好推廣了。
--
: 話說,今天早上一大早起來準備要收gmail,
: 沒想到反而是顯示要重新設定密碼跟手機號碼認證,
: 設定好新的密碼後,進入收信夾才知道,原來gmail被駭了,
: 在今日凌晨五點多的時候,瘋狂的發信~雖然看起來都是被退件,
: 但是心裡還是覺得很悶。~"~
: 同時提醒版友,沒事有事定期更換密碼吧!
: 同時發文在Mobile01上,也附上圖(有圖有證據)。
: http://www.mobile01.com/topicdetail.php?f=481&t=2089820&last=26964580
借這篇文章,聊一下最近常在朋友圈中看到的狀況。
現在註冊網站的服務,都會要 email 認證。
多數人,在該網站的登入密碼,會跟登入 email 的密碼一樣。
簡單講,去 www.foo.com 註冊新帳號,帳號是 account,密碼是 password,接著
www.foo.com 跟你要 email 信箱認證,你告訴他是 [email protected]。
如果你的 [email protected] 的登入密碼,也是 password!
那麼你註冊的一大堆網站裡面,只要有一個網站內控不好,他就可以用你的「密碼」
和「[email protected]」,登入你的 gmail 信箱、facebook、噗浪 ......
有些網站可以用 openID 的方式登入,那它就不需要知道你的密碼,相對安全一些。
登入一個新網站後,最後用一下「忘記密碼」的功能,如果該網站可以把原始密碼
回覆給你,代表該網站是用明碼儲存使用者密碼,非常危險。
或者不要那麼辛苦,跑去偷資料庫的密碼,現在智慧手機很流行,大家都愛亂連來
路不明的 wifi 熱點,只要自己架一個不用密碼的 wifi 熱點,就可以搜集到一大
堆帳號跟密碼了。
這樣也太辛苦,再簡單一點,找個人多的地方,用個收聽 wifi 的儀器,就可以聽
到一大堆沒有加密傳輸的 wifi 訊號,裡面一樣一大堆帳號密碼。
不是針對原 po,只是這樣的狀況絕非罕見。
=====
回到 Google 點。
Google 街景車大街小巷跑一圈,收集 wifi 訊號,目的應該是要做定位的服務,結
果一撈就順便撈到一大堆帳號跟密碼,不知道要怪 Google 的耳朵太好,還是講悄悄
話的人音量太大了。
然後從中國民運人士的 Gmail 事件之後,Google 就很認真的把旗下服務都加上了
https,至少可以避免帳號、密碼被聽到。
=====
常常改密碼,其實並不見得是好方法,會怕忘記新密碼,到後來密碼會愈來愈簡單。
建議的方法是,要把密碼分級。
例如:最重要的密碼、很重要的密碼、重要的密碼、不怎麼重要的密碼、不需要密碼的密碼。
對我來說,「最重要的密碼」是公司一堆 server 的密碼,那些密碼只會用在 server
上面,其他地方絕對不會出現。
「很重要的密碼」是 gmail 的密碼,常常會用到,所以不能太難記。
「重要的密碼」,例如 facebook、plurk。
「不怎麼重要的密碼」,例如 ptt、pchome shopping 之類。
「不需要密碼的密碼」,就忽然出現,需要註冊的網站,都先放這個 level。
這樣可以控管「當密碼不幸外洩」時,災害可能會發生在哪邊。
=====
再回到 Google。
如果你有用智慧手機的話,可以到 Google Accounts 打開「使用兩步驟驗證」,當從
陌生的電腦登入你 Google 帳戶時,會要求你從手機上的 Google Authenticator 確認
密碼。
詳情可以看 http://goo.gl/N9czE 。
如果你的 Google Accounts 看不到「使用兩步驟驗證」,把 URL 改成
https://www.google.com/accounts/ManageAccount?hl=en
就可以看到「Using 2-step verification」。
似乎不是所有帳號都可以看到這東西。
=====
大家對網路的依賴愈來愈深,所以資訊安全也該好好推廣了。
--
All Comments