當200萬社群網站密碼被盜,你如何簡單保護雲端帳戶安全?
今天看到國內外新聞紛紛報導,有安全公司揭發了一個竊盜約 200 萬組大小網站密碼的案件,這些被竊的用戶密碼裡以 Facebook、 Google、 Yahoo 和 Twitter 為大宗。至於盜竊的方法,可能是利用植入用戶個人電腦中的惡意軟體,來紀錄你的密碼輸入。要注意,這僅僅只是各式各樣和雲端帳號安全有關的案件之一。
其實,在我們的日常生活中,應該也常常看到類似這樣臉書帳號被盜用的案例,也有許多新聞報導提到像是釣魚網站、駭客入侵等等事件,似乎無時無刻都有帳密被盜的事件發生。雲端服務只要用「帳號」和「密碼」就能在任何電腦登入使用,也讓一旦帳密被竊取後,風險加大。
而且帳密被盜和是否使用複雜的密碼沒有絕對關係,如果透過釣魚網站、廣告詐騙、惡意軟體偷盜你的密碼,那麼密碼多複雜也一樣立刻被他人獲取。唯一可能比較有幫助的,就是盡量每個網站使用不同的帳號密碼,以免擴散影響,可是這其實對一般用戶來說,難度也很大(但願意認真研究的朋友,歡迎試試看「 KeePass 」這類軟體)。
但也不是沒有解套的好辦法,那就是使用重點雲端服務都有提供的「帳號兩步驟驗證」機制。
「帳號兩步驟驗證」,就是當我要在「一台新的電腦」登入網站時,先輸入我的帳號密碼,正確後還不能馬上登入,必須透過裝著只有自己擁有的 SIM 卡的手機,接收一個簡訊或 App 提供的「第二步驗證碼」,當第二步也通過後,才能登入網站。
這個安全步驟,就讓前面的密碼被盜失效,因為沒有人可以在一台新的電腦登入我的帳號,除非他同時偷到我手上的這台手機。這也讓我在中毒、被盜後,有足夠的時間重新修改密碼。
通常這個比例都非常低,就算是在面對應該更習慣使用科技工具的朋友時,也很少有超過一半以上的人會開啟帳號兩步驟驗證。
沒事,當然都好。可是從各種新聞案件中,可以發現雲端帳號的保護不再只是「保護我自己的帳號密碼」這麼簡單而已,因為真正惡意的手法並不一定要猜你的帳密,而是利用各種社交陷阱來誘使你安裝惡意軟體,這時候,人性讓我覺得很難保證自己會永遠躲開每一次的考驗。
關於「怕麻煩」這一點,在自己貼身使用的電腦上(例如家裡或辦公室),當第一次需要兩步驟驗證登入時,可以在輸入第二步驗證碼後,讓電腦記住你,這樣以後在貼身電腦上就不用每一次都兩步驟驗證。
如果是「怕開啟後反而無法登入自己的帳號」,那麼其實雲端服務在你開啟兩步驟帳號驗證後,都會提供你一組「救命密碼」,每個只能使用一次,你要貼身保管好,這樣以後例如你的手機掉了、換電話號碼結果認證不成功等等,總之在沒有手機的情況下,也可以用這幾個只有你自己知道的「救命密碼」來登入帳號。
關於救命密碼,請參考:開啟帳號防盜兩步驟驗證結果無法登入?備援方法教學
1. Google 帳號要開啟兩步驟驗證,只要進入「帳號安全性頁面」,進行開啟即可,每一步驟都會有詳細解說,教你怎麼設定,建議第一次使用的朋友一定要好好看一遍。
或者延伸參考:啟動 Google帳戶 兩步驟驗證功能,中文版安全自保流程教學
2. 使用 Facebook 的朋友要開啟帳號兩步驟驗證,只要進入「帳號設定」的「帳號保安」,找到「登入許可」項目並勾選要求安全密碼即可,也有中文的詳細步驟解說。
或者歡迎延伸參考:Facebook帳號保安的手機簡訊認證教學,開啟登入許可雙重驗證
3. Evernote 用戶則是登入網頁版,在右上方進入帳號設定,在「安全性摘要」頁面就可以開啟「兩步驟驗證」。
當然也可以參考我寫過得詳細教學:Evernote 開始新增帳戶兩步驟驗證登入,保護筆記安全
4. Dropbox 一樣有帳號兩步驟驗證,登入 Dropbox 網頁版,從右上方進入帳號設定,在「安全性頁面」中,啟動兩步驟驗證即可。
也歡迎參考我寫過的詳細教學:Dropbox 兩步驗證帳號安全功能推出!搶先實際測試心得
5. 微軟的 SkyDrive、 Office Web 等雲端服務愈做愈好,我們一樣要注意微軟雲端服務的帳號安全,在登入帳戶設定後,在「安全性資訊」頁面就能開啟兩步驟驗證。
詳細說明也可以參考我的教學:Microsoft 帳戶兩步驟驗證教學,保護 Skype 等帳號安全
6. 其實, Yahoo 帳號也可以在帳號設定中開啟「二次登入驗證」。
在這樣的網路時代裡,如果你有使用上述的雲端服務,並且認為這些服務對你來說夠重要,那麼保護安全的「目前最好可行辦法」,就是開啟兩步驟驗證。
其實,在我們的日常生活中,應該也常常看到類似這樣臉書帳號被盜用的案例,也有許多新聞報導提到像是釣魚網站、駭客入侵等等事件,似乎無時無刻都有帳密被盜的事件發生。雲端服務只要用「帳號」和「密碼」就能在任何電腦登入使用,也讓一旦帳密被竊取後,風險加大。
而且帳密被盜和是否使用複雜的密碼沒有絕對關係,如果透過釣魚網站、廣告詐騙、惡意軟體偷盜你的密碼,那麼密碼多複雜也一樣立刻被他人獲取。唯一可能比較有幫助的,就是盡量每個網站使用不同的帳號密碼,以免擴散影響,可是這其實對一般用戶來說,難度也很大(但願意認真研究的朋友,歡迎試試看「 KeePass 」這類軟體)。
- 無法「完全」阻止帳密被盜,但可以阻止被登入帳號:
但也不是沒有解套的好辦法,那就是使用重點雲端服務都有提供的「帳號兩步驟驗證」機制。
「帳號兩步驟驗證」,就是當我要在「一台新的電腦」登入網站時,先輸入我的帳號密碼,正確後還不能馬上登入,必須透過裝著只有自己擁有的 SIM 卡的手機,接收一個簡訊或 App 提供的「第二步驗證碼」,當第二步也通過後,才能登入網站。
這個安全步驟,就讓前面的密碼被盜失效,因為沒有人可以在一台新的電腦登入我的帳號,除非他同時偷到我手上的這台手機。這也讓我在中毒、被盜後,有足夠的時間重新修改密碼。
 |
| 例如在一台新電腦登入 Evernote,首先幫然是要輸入自己的帳號密碼。 |
 |
| 但是通過後,還需要第二步驗證,也就是只有你自己手上手機可以收到的代碼,這樣就保護了你的帳號安全。 |
 |
| 兩步驟驗證的代碼,可以用簡訊收,也可以用手機上可以安裝的 Google Authenticator 產生,無論哪一種,都「只有你這台手機可以收到」。而且代碼隨時變化,無法被盜取。 |
- 雲端服務的安全,不再只是保管複雜密碼而已:
通常這個比例都非常低,就算是在面對應該更習慣使用科技工具的朋友時,也很少有超過一半以上的人會開啟帳號兩步驟驗證。
沒事,當然都好。可是從各種新聞案件中,可以發現雲端帳號的保護不再只是「保護我自己的帳號密碼」這麼簡單而已,因為真正惡意的手法並不一定要猜你的帳密,而是利用各種社交陷阱來誘使你安裝惡意軟體,這時候,人性讓我覺得很難保證自己會永遠躲開每一次的考驗。
- 保護帳號安全,開啟「兩步驟驗證」沒有那麼麻煩:
關於「怕麻煩」這一點,在自己貼身使用的電腦上(例如家裡或辦公室),當第一次需要兩步驟驗證登入時,可以在輸入第二步驗證碼後,讓電腦記住你,這樣以後在貼身電腦上就不用每一次都兩步驟驗證。
 |
| 你可以在自己貼身電腦登入時,勾選「記下這台電腦的驗證狀態」,這樣就不用每次都要兩步驟驗證。 |
如果是「怕開啟後反而無法登入自己的帳號」,那麼其實雲端服務在你開啟兩步驟帳號驗證後,都會提供你一組「救命密碼」,每個只能使用一次,你要貼身保管好,這樣以後例如你的手機掉了、換電話號碼結果認證不成功等等,總之在沒有手機的情況下,也可以用這幾個只有你自己知道的「救命密碼」來登入帳號。
關於救命密碼,請參考:開啟帳號防盜兩步驟驗證結果無法登入?備援方法教學
- 怎麼開啟各大雲端服務的帳號兩步驟驗證,最簡單教學:
1. Google 帳號要開啟兩步驟驗證,只要進入「帳號安全性頁面」,進行開啟即可,每一步驟都會有詳細解說,教你怎麼設定,建議第一次使用的朋友一定要好好看一遍。
或者延伸參考:啟動 Google帳戶 兩步驟驗證功能,中文版安全自保流程教學
2. 使用 Facebook 的朋友要開啟帳號兩步驟驗證,只要進入「帳號設定」的「帳號保安」,找到「登入許可」項目並勾選要求安全密碼即可,也有中文的詳細步驟解說。
或者歡迎延伸參考:Facebook帳號保安的手機簡訊認證教學,開啟登入許可雙重驗證
3. Evernote 用戶則是登入網頁版,在右上方進入帳號設定,在「安全性摘要」頁面就可以開啟「兩步驟驗證」。
當然也可以參考我寫過得詳細教學:Evernote 開始新增帳戶兩步驟驗證登入,保護筆記安全
4. Dropbox 一樣有帳號兩步驟驗證,登入 Dropbox 網頁版,從右上方進入帳號設定,在「安全性頁面」中,啟動兩步驟驗證即可。
也歡迎參考我寫過的詳細教學:Dropbox 兩步驗證帳號安全功能推出!搶先實際測試心得
5. 微軟的 SkyDrive、 Office Web 等雲端服務愈做愈好,我們一樣要注意微軟雲端服務的帳號安全,在登入帳戶設定後,在「安全性資訊」頁面就能開啟兩步驟驗證。
詳細說明也可以參考我的教學:Microsoft 帳戶兩步驟驗證教學,保護 Skype 等帳號安全
6. 其實, Yahoo 帳號也可以在帳號設定中開啟「二次登入驗證」。
在這樣的網路時代裡,如果你有使用上述的雲端服務,並且認為這些服務對你來說夠重要,那麼保護安全的「目前最好可行辦法」,就是開啟兩步驟驗證。
Facebook似乎要設定手機門號才能繼續相關安全設定
回覆刪除Dropbox要注意電腦端,退出而非登出的時候,很容易被旁人開啟網頁查看帳戶
兩步驟驗證一定都要設定手機門號的
刪除Yahoo 不開比較好,簡訊浪費錢!
回覆刪除因為他不能用驗證器................................................................................................
其他收個一兩次設定好驗證器就 OK 了
有驗證器確實比較方便^^
刪除請問簡訊費用誰負擔呢??
回覆刪除如果是透過簡訊(因為也可以透過 App),那麼是用戶自己負擔(不過正常使用下,就像文章裡說的,你的常用電腦都可以設定不需驗證,所以不用每天在收簡訊)
刪除請問簡訊費用自行負擔是最近修正的嗎?因為之前我每天收google驗證簡訊似乎沒有收費喔。
刪除這個問題可以先思考是否是電信商的月租費率已經包含簡訊費折抵
刪除現在其實大家都很少真的傳簡訊(因為有網路即時通),所以電信商每個月月租費的簡訊折抵應該就用不完
刪除自動奉上手機號給面書,老軟和谷狗, 然後祈求他們來"保護"我(手機號)的私隱?
回覆刪除呵呵,這個邏輯反了吧?因為你已經先使用他們的服務啊~如果你都用了,難道不保護自己的帳號安全?
刪除可以這麼想:驗證必需透過獨一無二的管道發揮功效,倘若不是如此怎麼保證只有使用者自己能讀取,試想什麼是獨一無二的,這就是透過手機的理由了
刪除我就是懶得設定的那一群,不過我是有在用keepass管理密碼就是了。密碼建議能多幾個特殊字元可避免被暴力破解的可能性降低許多。
回覆刪除是的,其實我一直也用 KeePass 管理,不過最近真的會擔心,其實現在的問題已經不只是會不會被暴力破解而已^^
刪除帳密都被盜了,密碼設多長多難有什麼用。
刪除所有密碼和備用碼都放在 KeePass 上,最危險的會不會變成 KeePass 被破解XDD
回覆刪除如果 KeePass 被破解,那可能表示有一個人真的「針對你」想要盜取你的機密資料。(因為KeePass 是單機軟體,而且有一個你自己可以保管的加密金鑰機制)
刪除不過這對一般人來說,應該是很難發生的電影情節。
真的用 KeePass 存很多密碼的人應該是多點同步,電腦、筆電、平板電腦、智慧型手機上都會有資料庫和金鑰檔案,這大概不會只是「單機程式」。
刪除金鑰可以單獨儲存或偽裝
刪除如人在國外,驗證用手機未開通漫遊,使用者如何進入電腦?
回覆刪除有兩種可行辦法:
刪除1.使用 App 驗證,例如我文章裡舉例那樣。這個 App 是可以離線使用的。
2.使用我文章裡提到的「救命密碼」。
http://forum.moztw.org/viewtopic.php?f=7&t=40687
回覆刪除站長您好:拜讀了大作100個做筆記的好方法,這的確能在工作及生活中帶來很大的「整理」便利。但是有一個問題請教,在evernote中好像只有電腦版的可以設定段落加密,在android平板中似乎找不到這個功能,但是大部份的idea都是從行動裝置而來,又不希望私人的紀錄被其它人看到。比如一個名為日記的筆記本,有沒有辦法加密呢?謝謝!
回覆刪除可以回到電腦端整理時再加密啊^^ Android 端確實做不到
刪除了解了,謝謝您!
刪除