包括臉書和推特執行長的推特帳號,都因為2012年LinkedIn帳號外洩後,而遭到駭客團體OurMind宣稱成功入侵他們的帳號。

小時候的作文,最常被老師指定寫的題目就是「我的志願」,這樣的濫觴就從《論語》而來,因為,孔子當時也時興要弟子們各自說明一下我的志願是什麼。其中,個性豪爽的子路就很阿沙力的說,他願意把自己的馬車和衣服等,都可以和朋友們分享,即便他們用壞或穿壞了,子路也覺得無所謂。

通常,類似這樣的慷慨好習慣,我們應該要鼓勵當事人繼續保持下去,不過呢,在現在社會中,這種共用的習慣,除了衍生共享經濟(Share Services)的新的商業型態之外,卻成為極其嚴重的高資安風險的習慣,尤其是共用密碼這個習慣,不見得是和其他親友共用密碼,更多的不良使用習慣其實是,個人在不同的網路服務中,使用同樣一套帳號密碼。

不只你我,連臉書執行長也在不同網路服務使用相同帳號密碼

只要其中一個使用相同帳號、密碼的網站資料遭到外洩,駭客就可以嘗試使用這些外洩的帳號密碼,繼而到其他的網站試用,看看使用者是否在其他網站,也使用相同的帳號、密碼,如果是的話,駭客就可以用這組萬年帳號、密碼,輕易登入其他網站,不論是修改資料甚至是取得更多私人資訊等,都是具有極高的資安風險行為。

像是,駭客團體OurMind宣稱已經駭入臉書執行長馬克. 祖克柏(Mark Zuckerberg)的推特(Twitter)、Pinterest和Instagram帳號,綜合各方報導,主要是因為馬克. 祖克柏這些社群服務使用的帳號密碼,和在2012年發生超過650萬、大規模資料外洩的社交網站LinkedIn的帳號密碼一致,駭客只需要測試使用早先外洩的帳號密碼,就可以掌控使用者各種網站的帳號。

無獨有爾,除了臉書外,還傳出Google執行長Sundar Pichai的及Amazon技術長Werner Vogels兩人的Quora或Twitter帳號,也都遭到駭客團體OurMind的入侵。據了解,同樣也是因為當年LinkedIn的使用者資料外洩,讓駭客團體有機可趁。甚至於,今天也傳出Twitter執行長Jack Dorsey的推特帳號也同樣被OurMind,對於堂堂推特執行長的推特帳號也被駭客入侵,顯得十分尷尬。

或許,有很多人會覺得意外,這些科技業界知名人士,應該是最熟悉這些新興社交科技工具的使用,也最理解潛藏的資安風險,怎麼樣也無法想像,馬克. 祖克柏的推特帳號的密碼,其實簡單到不能再簡單的「dadada」,而這也是無法在任何網站服務的密碼設定規則中,脆弱到不能再脆弱的弱密碼規則。

當然,這也可能有一個原因就是,臉書執行長因為平常使用的社群服務就是臉書,其他包括推特或者是LinkedIn等,可能已經是多年未曾使用,甚至是忘了這些社群服務的存在,也因此,就沒有針對相關帳號的密碼作密碼強化。這也可以從馬克. 祖克柏的Google+並沒有同時遭駭,可以得此推論。

臺灣也曾經發生過類似的資訊拼圖資安事件

不論是因為鮮少使用而輕忽密碼的設定,或者是根本忘記這些網路服務的存在,類似這種使用不同網站服務所因為資料外洩取得的帳號密碼等資訊,有心者,基本上都可以用來在其他不同網站試試看。

多數人都覺得,臺灣民眾的個資老早就已經外洩光光,怎麼樣保護也都沒有意義,而這種駭客使用外洩的帳號密碼,用來在其他網站嘗試登入使用者帳號的手法,臺灣稱之為資訊拼圖手法,而臺灣在將近十年前,也曾經發生過類似手法的資安事件。

2007年12月,當時全臺灣鎖定女性客戶為主的康迅數位整合(Payeasy),當時有來自中國及香港的IP,異常大量登入該網站並且試圖破解正確的帳號與密碼,光是在12小時內就登入了3萬9千多次,其中,登入成功的帳號也超過5,400個帳號。

這些駭客其實是藉由從其他地方蒐集而來4萬筆的帳號和密碼等資料,試圖使用相同的帳號密碼,登入Payeasy網站,而這些駭客所蒐集的帳號中,大約有4成是Payeasy的會員帳號(大約1萬6千個帳號),但針對這些是該網站會員的資料,可以成功登入網站的數量大約5,400筆,占整體比例約為三分之一,這也意味著,當時駭客從其他地方蒐集而來的使用者資料,可重複利用的比例相當高。

而根據當年的資訊顯示,這些駭客用來登入Payeasy的帳號密碼,其中有三分之一可以順利登入成功的,都是一次登入就生效。這也就是說,就算Payeasy想要利用封鎖特定IP位址甚至是某些網段的手法,其實是無效的方式。

當時有許多人在不同的網站,為了怕自己忘記,都習慣使用相同的帳號和密碼,也容易發生這種「一處外洩,處處外洩」的高風險情況。而舊事重提讓人感到膽顫心驚的狀況卻是,將近十年前發生的歷史,在十年後又發生類似的狀況,這表示資安事件本身有一種循環的特性,而連人的本性,其實也都沒有長進,一直在重蹈覆轍。

採用更安全的密碼設定,是保護帳號安全的第一步

從這些科技名人發生的案例中可以看出,許多人對於密碼的設定,都還是容易輕忽,不論是使用很容易被破解的弱密碼,或者是一些可以透過使用者個人資訊,取得重新設定密碼的管道,都讓網站的密碼的設定,陷入一種不確定的不安之中。

也因此,近年來,有許多網站在提供相關的網路服務時,為了資安的因素,已經會開始在帳號尤其是密碼的設定上,以系統性的方式作限制,例如,網站業者會在經過某一段時間後,開始強迫使用者更換新的密碼;也會設定密碼強度規則,必須要有英文大小寫和數字,甚至包含符號在內的6個字元以上的密碼;也有一些網站提供安全性更高的雙因素認證服務,使用者可以利用手機發送確認簡訊,或者是電子郵件發送重設密碼的連結方式,重新設定更安全的密碼。

不過,從各種更安全的強密碼建議方式看來,除了至少6個位元以上的長度設定外,使用者其實可以自行設定一個屬於自己才知道的密碼設定邏輯,同樣採用雙因素認證的精神,透過一組固定的密碼設定原則,搭配另外一組變動的密碼設定原則,就可以創造一個可以適用於不同網站服務的密碼設定,但又不容易忘記的密碼原則。

舉例而言,固定的密碼設定原則,可能是一組只有你自己才知道的密碼設定,不論是將一句中文改用英文輸入作為不規則的密碼原則,或者是某些鍵盤上的排列原則,甚至是某些只有自己長年使用的密碼設定資料等等,都可以作為第一組固定的密碼設定原則。

現在多數網站密碼設定幾乎不會設定上限時,另外一組變動的密碼設定原則,可以採用像是,如果在iThome網站申請會員帳號時,設定密碼時,就可以固定在密碼的第幾個字元開始,加入自行設定的字元規則,例如,取3個網站的字母作為該網站的密碼設定:iTh。

也就是說,使用者可以設定一組固定常用的密碼類型作為密碼設定的基礎,再搭配另外一個可以變動但有邏輯和原則的密碼設定方式,就有機會創造一個既安全又不容易遺忘的安全密碼。

@上週(7/3~7/9)重要資安事件回顧:

取代ATM,銀行改用平版電腦提供自助金融服務的關鍵

Google正在測試Chrome新加密技術以防範量子運算攻擊

捷克免費防毒雙雄整併,Avast出價13億美元買下AVG

歐盟通過首個網路安全準則

聯想ThinkPad筆電BIOS爆重大零時攻擊漏洞 ,傳他牌產品也受害

中國將大力整頓網路假新聞,禁媒體未查證即報導社交網路內容

好萊塢女星iCloud私密照外洩案,駭客面臨最高5年牢獄之災

Check Point:中國行動廣告商微贏互動以惡意程式感染逾1000萬臺Android裝置

研究:數百萬臺Android裝置加密不牢靠,恐曝資安風險

Google推出「我的活動」,讓用戶檢視自己的網路行為、控制隱私權
 

熱門新聞

Advertisement