【當單一密碼認證不再安全】臉書創辦人驚爆帳號遭駭，密碼安全議題浮上檯面

名人的帳號往往是駭客下手的頭號目標，6月5日，名為OurMine的駭客組織，宣稱他們成功駭入Facebook執行長Mark Zuckerberg的Twitter、Pinterest、Instagram帳號。

但這件事還沒完，間隔幾天，在6月8日，身為Twitter創辦人之一的Evan Williams，發現他的Twitter帳號也遭到攻擊。Evan Williams向外電Mashable表示，駭客組織OurMine是透過另一個社交網站Foursquare，存取他的Twitter帳號。Evan Williams雖然沒有說明進一步的細節，不過根據他的說法，駭客很有可能是在成功取得他的Foursquare帳號權限後，以這個網站分享推文到Evan Williams自己的Twitter頁面上。

這些事件與許多名人帳號遭駭不同的是，首先，Mark Zuckerberg與Evan Williams都是屬於知名社群網站的創辦人，再者，駭客並非直接針對上述社群網站進行攻擊，因為在Mark Zuckerberg遭駭時，OurMine表示，他們的情資來自於LinkedIn在2012年遭竊的帳號資料，藉由這裡取得的密碼，同時成功登入多個社群網站。另一個令人難以置信的是，駭客公布他們取得Mark Zuckerberg的密碼是「dadada」，是一組極為簡單、很可能被猜中的字串。

或許我們可以猜想，由於Mark Zuckerberg在2012年之後就沒有在Twitter推文過，Pinterest也看來幾乎沒有使用，申請這些社群網站帳號的目的，可能只是要觀察其他同業的做法，並沒有打算長期使用這些服務，所以隨意設定一組極為簡單的通用密碼。

但是，從另外一個角度來看，駭客並非直接針對這些網站攻擊，而是利用一般人難以記憶大量字串，而在許多網站都使用同樣密碼的情況下，拿使用者在LinkedIn的資料，去嘗試在Twitter、Pinterest、Instagram等網站登入。換言之，即使Mark Zuckerberg設定非常複雜的強式密碼，若是維持使用一組密碼走天下的做法，仍然還是難免帳號被駭的命運。

也因為這件事的發生，使得Twitter、Facebook與Netflix等網站，也做出呼籲。例如，通知在多個網路服務中，共用帳號名稱與密碼的使用者，請他們在這些網站中改用不同的密碼。

Mark Zuckerberg的Twitter帳號據傳遭駭，有駭客組織OurMine表示是他們所盜用，該組織藉由推文表示他們取得的密碼來自LinkedIn遭外洩的資料庫。OurMine也同時成功駭入Pinterest平臺，此外，這個組織也宣稱掌握Instagram帳號，但並未被當事人證實。

使用者應藉機檢視密碼安全性，並落實管理機制

這次事件，許多資安廠商在部落格中提出看法，主要把矛頭指向一般人可能會有的不良習慣：多個網站使用同一組密碼，以及密碼強度不足的問題等。Intel Security提到使用者應該運用強式密碼，與多個帳號必須採用不同密碼的策略，再來就是要留意有關資料遭竊的相關新聞等；而Sophos則強調密碼重覆使用的嚴重性。

國內的專家也藉此事件提醒用戶，Symantec首度技術顧問張士龍表示，密碼就是你家的大門鎖，密碼的強度不夠，形同敞開大門等待小偷光顧；Kaspersky臺灣銷售總監黃茂勳認為，人之常情是資安的最大風險，因此也提出落實帳號稽核管理，以及密碼要有過期策略等做法。Forcepoint代理商達友科技副總經理林皇興也在他的臉書中表示，使用者不能在LinkedIn資料遭竊事件發生後，只修改這個社群網站的密碼，其他網站的也要一併更換，此外，由於登記在多個社群網站的電子郵件信箱可能相同，因此，最好每個社交網站採用不同的密碼。

因此，對於使用者而言，在不同的網站，採取不同的強式密碼進行身分認證，並且要定期更換密碼，實屬首當其衝的要務。但現實是，要如何記住這些複雜的密碼，就是相當大的挑戰，所幸，一般使用者可以利用密碼管理軟體，集中儲存，減少必須記憶大量密碼的麻煩，這類軟體知名的有1Password、LastPass、KeePass Password Safe等。

不過，在強化密碼的使用之外，也有廠商提醒應善用網站的功能，以及社群資源。例如，資料治理廠商Varonis，在部落格中建議使用者應啟用網站提供的二次驗證功能，並且運用Have I Been Pwned網站，檢測自己的帳號是否受到相關事件波及。

對於閒置使用者帳號的管理問題，服務提供者也應有所作為

像Have I Been Pwned這種搜尋網站，在近期名人社群網站帳號遭駭事件頻傳而受到關注，這是相關研究人員或是社群自力救濟，統整相關的資料，跳出來架設使用者資料遭竊的搜尋網站，同性質的還有像是Leaked Source。這些網站，提供一般人輸入自己的使用者帳號和電子郵件，查詢是否遭到重大網站的使用者資料竊取事件影響。

這兩個網站，前者由澳洲網路資安專家Troy Hunt製作，後者則沒有表明製作團隊的身分。雖然，他們可能都是基於善意架設，甚至是Leaked Source接受使用者查詢之後，刪除在網站中的搜尋記錄。但對於一般大眾而言，這樣的查詢網站，或許應該由政府單位等具代表性的單位建立，比較能夠減少隱私權等相關疑慮。

我們也要提醒，就算在上述網站沒有查詢到相關記錄，並不能代表就是完全的安全，這只是表示上述網站所有收集的相關資料外洩事件，可能都與自己沒有關連。

但這類網站近期受到關注，也反映出某些現象，例如，每個網站都要求使用者註冊帳號．對於一般人而言，許多網站的帳號可能在試用一段時間之後，因為某些原因便不再使用，閒置多年，甚至忘記它的存在，就像Mark Zuckerberg的Twitter和Pinterest帳號一樣，他可能根本沒想到會被有心人士拿來濫用的一天。

然而，只是一味地要求使用者單方面自保，難道站方就完全束手無策，只能任由駭客對現有機制的漏洞，上下其手嗎？

像國內的批踢踢實業坊（PTT）網站，針對這類閒置使用者，長期以來，一直實施超過4個月以上未登入就進行刪除的政策，雖然對於低活動量用戶造成一定的困擾，相對來說比較安全。實際上，一般網站大多只有提供使用者自行停用的機制，做到定期清除閒置用戶的並不多，這就像企業內部電子郵件信箱，IT人員若是沒有停用已經閒置許久的帳號，便會容易變成有心人士利用的工具。

而對於這些網站而言，他們的使用者帳號的數量眾多，也許需要一套自動化的機制，定期刪除這類使用者。

我們認為，使用者持有的帳號越多，也代表在網路上的足跡越多，比較容易被駭客找到可攻擊弱點。因此，使用者仍有自保的義務，例如使用強式密碼、利用網站的進階身分認證機制等方法，以及對所持有的帳號進行管理等。然而，針對網路服務的業者這一端，不能只是再偏重防堵資料竊取，或是強化身分驗證機制。對於已經註冊帳號與權限的管理，特別是閒置帳號，網路服務廠商也必須同樣重視。

確認網站帳密是否遭公布有方法，專家級網友收集外洩名單供查詢

近期像是Have I Been Pwned、Leaked Source等網站，提供資料外洩帳號的查詢，使用者只要輸入電子郵件信箱或是使用者名稱，這個網站就會從資料庫中比對，顯示與那些曾經遭駭的網站有關。這也突顯一般人可能採用同樣的使用者名稱或是電子郵件信箱，註冊多個網站帳號的情況。

保護數位身分的觀念需從小教育

根據賽門鐵克在今年2月所做的調查，在臺灣，平均每5個人中，就會有1個人與其他朋友或同事共用帳號和密碼。但真正值得留意的是，若以不同年齡層來看，18至34歲使用者共用密碼的情況最為嚴重，幾乎是接近四分之一（24%）的比例，反觀超過55歲以上的使用者，只有不到六分之一（15%）會與其他人共用帳號密碼，這也突顯年輕人可能比較輕忽共用帳號所帶來的資安問題。

照理來說，較為年輕、小時候就能與網路接觸的使用者，對於帳號代表特定身分的觀念，普遍來說，應該要比年長者來得清楚才對，但實際上卻並非如此。因此，在這種情勢中，除了提供服務的管理者應該向使用者提倡之外，或許教育單位更應該不時灌輸學生，資訊安全是每個人的責任，尤其是捍衛自己的數位身分的重要性。

儘管在法律上已經有個資法保障個人隱私，然而現實情況是，立法對於打擊數位時代的網路犯罪，由於難以追查，實際制裁的效果有限，但比起訴求法律約束，遠不如建立正確的身分防護觀念來得實際，使用者才不至淪為數位時代的輸家。

【相關報導請參考「2016身分保衛戰開打！」】