你也可以知道的賽博安全指南 - 帳密篇
Posted on 週四 29 六月 2023 in Category
偵測到您的賬戶有異常登錄記錄,請儘速處理。
哪個王八蛋駭客啊
我不是總統也不是百萬 YouTuber,為什麼有人想要偷我的賬戶?
有一些王八蛋駭客可以拿你的電腦當成網路攻擊的跳板; 通過你的賬戶向你周圍的家人、朋友投送詐欺資訊; 甚至勒索、盜取你的銀行賬戶, 這些都是有利可圖的。
而網路安全也是一種工程學,駭入也是講究成本的, 一般人不是會是高價值目標, 所以通常駭客不會花很大心力去駭入一個普通人的賬戶, 通常這些駭入行動都是由駭客編寫的精妙程式執行的。 而提高駭入的成本,也許就能讓駭客放棄駭入你的賬戶。
通常,安全性和便利性是一個權衡,越安全也就越麻煩, 甚至,一些過時的古早設計既麻煩還不安全。 資訊安全已是現代網路的一門大學問, 而現代的工具在設計時,則是同時考慮了安全性和便利性。
密碼提示問題就是一個超級白痴設計
通常在註冊賬戶的時候, 系統會要求你選擇幾個問題回答, 例如你出生的城市、寵物的名字... 但你是考試都考的幾罷昏的好學生, 你會很認真的回答這些問題, 但認真回答這些問題反而會讓你的賬戶安全形同虛設, 因為所有的答案都可以從你的 Twitter、Facebook 之類的社群平臺中找到, 這被稱作社交工程(Social Engineering)。
至於亂填的答案,當我要找回密碼的時候, 我怎麼會記得當時胡扯了什麼答案, 於是三個問題就變成了三組(弱)密碼, 但我就是因為忘記密碼才會用到它們不是嗎...
密碼拿麼多、拿麼長
例如 Google 1、Yahoo 2 在你註冊賬戶的時候都指導你設計密碼的策略。
一個優秀的密碼要十幾位包含數字大小寫字母符號還要好記又難猜, 想出一個密碼比晚餐吃什麼還要困難。
但是駭客甚至不需要去猜你的密碼, 它只要攻擊一個網站的帳密資料庫, 就可以知道成千上「有用的」密碼。
Firefox Monitor 提供一個服務, 幫你檢查、追蹤你的賬戶是否是洩漏事件的受害者。
這就也為什麼要在不同的網站也要使用不同的密碼, 否則只要知道了一組密碼, 就可以在所有那些共用密碼的網站上登錄。
那,密碼拿麼多、拿麼長,我怎麼可能記得住?
萬法歸一,一歸何處?
記住密碼的方式,可以做成記憶土司吃掉,也可以拿小本本記下來, 但現代人有現代人的解決方式。
密碼管理器可以幫你記住帳密, 現代的瀏覽器例如 Firefox 和 Chrome 都有密碼管理器的功能, 會幫你記住不同網站登錄的賬戶密碼,就可以一鍵登錄。 省去了記憶的部分,就使得在註冊一些網站的時候可以使用亂數密碼。
很明顯的,密碼管理器用得好是萬法歸一,用不好就是單點故障。 只要誰取得了你瀏覽器的使用權限, 甚至取得了 Firefox、Google 賬戶, 也就得到了你所有的的密碼。
記得設定主密碼(Primary Password)使得密碼管理器更加安全, 在每次存取密碼管理器的時候都需要輸入主密碼, 這樣只要記得主密碼就可以存取全部網站。 但是即使 Firefox、Google 賬戶被盜也偷不走所有密碼, 當然,主密碼的安全就變得至關重要。
也有其他提供密碼管理器的服務,如 LastPass、1Password, 以及免費、開源的密碼管理器軟體,例如 KeePass。 使用之前就要評估他們信譽和安全性;
例如,KeePass 會把密碼存儲成一個加密的檔案,就像密碼的保險箱, 就是有宵小偷走了保險箱,也很難打開它。 當然保險箱丟了密碼也就都不見了,所以備份也是很重要的。 KeePass 也可以拿來存儲一些像是金鑰之類的資訊, 甚至是身份證、護照影印件之類的重要內容。
當然,拿小本本記下來是物理上的安全。 像是一些丟掉就找不會賬戶的恢復金鑰(Recovery Code), 印出來藏好也是真的安心。
如果一次不夠安全,那就兩次
現代的網路安全已經認為只有密碼是不夠安全的, 很多的網站已經強制要求用戶啟用二階段驗證。 顧名思義,二階段驗證(Two-step authentication)就是在登錄之後再進行一次驗證。
二階段驗證用於確認在操作的人是賬戶擁有者本尊, 所以設定二階段驗證能大大提高安全性。
二階段驗證有很多種類, 例如指紋、手機、附近信任的藍牙設備都可以作為二階段驗證的工具, 當然還有最常見的 OTP (One-Time Password) 是基於時間的一次性密碼: 每隔幾秒就會刷新的數字。
使用 OTP 不需要特殊的工具,只需要 OTP 產生器。 例如 Google Authenticator 的 Android 應用程式。
當然,使用二階段驗證時,記得保護、備份好恢復金鑰。
越危險的地方越安全
上面的方法讓你的風險集中到了幾個地方, 像是 Forefox、Google、Microsoft 賬戶, 儲存二階段驗證的設備, 還有密碼管理器的檔案和主密碼。 好處是你只要花更少的心力維護更多的賬戶, 但是也要花更多的力氣去維護這些重要的地方, 例如設定專用的、更強的密碼。
老生常談的基本的網路安全概念, 就像醫生要你保持健康的生活一樣置若罔聞。 保護資安還有太多太多地方要注意,例如說: 不要在不安全的地方(例如公司、學校、影印店等公用電腦)登錄賬戶。 不要在不信任的設備(例如公用電腦)上接入手機、隨身碟等存儲裝置。 也不要把手機插在奇怪的地方(例如共用充電器)。 不要連結陌生的 Wi-Fi,使用 VPN(虛擬私人網路)等。
笨密碼,你害我好丟臉
無密碼的時代或許是我們的未來, 許多科技公司和資安專家越來越希望減少和消滅密碼。
- 你已經在用的「使用 Google 帳戶登入」就是開放授權(OAuth), 讓你用一個賬戶就可以在各個網站上暢通無阻。
- 你也許已經在用的指紋掃描、面部識別、視網膜掃描等生物識別, 刑事偵查正式走進千家萬戶。
- Windows 11 強制要求的 TPM 2.0 也是其中一環, 驗證資訊會安全地存儲在這特殊設計的安全晶片上。
- 更多的安全裝置例如智能卡或隨身碟一樣的金鑰, 有著電影一般的儀式感。
然而,目前這些技術都還需要進一步的發展和普及。 也並不存在絕對安全的方法。
也許那一天,電腦比你還知道你是你。
-
Google: 設定高強度密碼並強化帳戶安全性 ↩
-
Yahoo: 建立高安全性密碼的秘訣 ↩