Ben Hall
名人的帐号往往是骇客下手的头号目标,6月5日,名为OurMine的骇客组织,宣称他们成功骇入Facebook执行长Mark Zuckerberg的Twitter、Pinterest、Instagram帐号。
但这件事还没完,间隔几天,在6月8日,身为Twitter创办人之一的Evan Williams,发现他的Twitter帐号也遭到攻击。Evan Williams向外电Mashable表示,骇客组织OurMine是透过另一个社交网站Foursquare,存取他的Twitter帐号。Evan Williams虽然没有说明进一步的细节,不过根据他的说法,骇客很有可能是在成功取得他的Foursquare帐号权限后,以这个网站分享推文到Evan Williams自己的Twitter页面上。
这些事件与许多名人帐号遭骇不同的是,首先,Mark Zuckerberg与Evan Williams都是属于知名社群网站的创办人,再者,骇客并非直接针对上述社群网站进行攻击,因为在Mark Zuckerberg遭骇时,OurMine表示,他们的情资来自于LinkedIn在2012年遭窃的帐号资料,藉由这里取得的密码,同时成功登入多个社群网站。另一个令人难以置信的是,骇客公布他们取得Mark Zuckerberg的密码是「dadada」,是一组极为简单、很可能被猜中的字串。
或许我们可以猜想,由于Mark Zuckerberg在2012年之后就没有在Twitter推文过,Pinterest也看来几乎没有使用,申请这些社群网站帐号的目的,可能只是要观察其他同业的做法,并没有打算长期使用这些服务,所以随意设定一组极为简单的通用密码。
但是,从另外一个角度来看,骇客并非直接针对这些网站攻击,而是利用一般人难以记忆大量字串,而在许多网站都使用同样密码的情况下,拿使用者在LinkedIn的资料,去尝试在Twitter、Pinterest、Instagram等网站登入。换言之,即使Mark Zuckerberg设定非常複杂的强式密码,若是维持使用一组密码走天下的做法,仍然还是难免帐号被骇的命运。
也因为这件事的发生,使得Twitter、Facebook与Netflix等网站,也做出呼吁。例如,通知在多个网路服务中,共用帐号名称与密码的使用者,请他们在这些网站中改用不同的密码。
Mark Zuckerberg的Twitter帐号据传遭骇,有骇客组织OurMine表示是他们所盗用,该组织藉由推文表示他们取得的密码来自LinkedIn遭外洩的资料库。OurMine也同时成功骇入Pinterest平台,此外,这个组织也宣称掌握Instagram帐号,但并未被当事人证实。
使用者应藉机检视密码安全性,并落实管理机制
这次事件,许多资安厂商在部落格中提出看法,主要把矛头指向一般人可能会有的不良习惯:多个网站使用同一组密码,以及密码强度不足的问题等。Intel Security提到使用者应该运用强式密码,与多个帐号必须採用不同密码的策略,再来就是要留意有关资料遭窃的相关新闻等;而Sophos则强调密码重覆使用的严重性。
国内的专家也藉此事件提醒用户,Symantec首度技术顾问张士龙表示,密码就是你家的大门锁,密码的强度不够,形同敞开大门等待小偷光顾;Kaspersky台湾销售总监黄茂勋认为,人之常情是资安的最大风险,因此也提出落实帐号稽核管理,以及密码要有过期策略等做法。Forcepoint代理商达友科技副总经理林皇兴也在他的脸书中表示,使用者不能在LinkedIn资料遭窃事件发生后,只修改这个社群网站的密码,其他网站的也要一併更换,此外,由于登记在多个社群网站的电子邮件信箱可能相同,因此,最好每个社交网站採用不同的密码。
因此,对于使用者而言,在不同的网站,採取不同的强式密码进行身分认证,并且要定期更换密码,实属首当其冲的要务。但现实是,要如何记住这些複杂的密码,就是相当大的挑战,所幸,一般使用者可以利用密码管理软体,集中储存,减少必须记忆大量密码的麻烦,这类软体知名的有1Password、LastPass、KeePass Password Safe等。
不过,在强化密码的使用之外,也有厂商提醒应善用网站的功能,以及社群资源。例如,资料治理厂商Varonis,在部落格中建议使用者应启用网站提供的二次验证功能,并且运用Have I Been Pwned网站,检测自己的帐号是否受到相关事件波及。
对于闲置使用者帐号的管理问题,服务提供者也应有所作为
像Have I Been Pwned这种搜寻网站,在近期名人社群网站帐号遭骇事件频传而受到关注,这是相关研究人员或是社群自力救济,统整相关的资料,跳出来架设使用者资料遭窃的搜寻网站,同性质的还有像是Leaked Source。这些网站,提供一般人输入自己的使用者帐号和电子邮件,查询是否遭到重大网站的使用者资料窃取事件影响。
这两个网站,前者由澳洲网路资安专家Troy Hunt製作,后者则没有表明製作团队的身分。虽然,他们可能都是基于善意架设,甚至是Leaked Source接受使用者查询之后,删除在网站中的搜寻记录。但对于一般大众而言,这样的查询网站,或许应该由政府单位等具代表性的单位建立,比较能够减少隐私权等相关疑虑。
我们也要提醒,就算在上述网站没有查询到相关记录,并不能代表就是完全的安全,这只是表示上述网站所有收集的相关资料外洩事件,可能都与自己没有关连。
但这类网站近期受到关注,也反映出某些现象,例如,每个网站都要求使用者注册帐号.对于一般人而言,许多网站的帐号可能在试用一段时间之后,因为某些原因便不再使用,闲置多年,甚至忘记它的存在,就像Mark Zuckerberg的Twitter和Pinterest帐号一样,他可能根本没想到会被有心人士拿来滥用的一天。
然而,只是一味地要求使用者单方面自保,难道站方就完全束手无策,只能任由骇客对现有机制的漏洞,上下其手吗?
像国内的批踢踢实业坊(PTT)网站,针对这类闲置使用者,长期以来,一直实施超过4个月以上未登入就进行删除的政策,虽然对于低活动量用户造成一定的困扰,相对来说比较安全。实际上,一般网站大多只有提供使用者自行停用的机制,做到定期清除闲置用户的并不多,这就像企业内部电子邮件信箱,IT人员若是没有停用已经闲置许久的帐号,便会容易变成有心人士利用的工具。
而对于这些网站而言,他们的使用者帐号的数量众多,也许需要一套自动化的机制,定期删除这类使用者。
我们认为,使用者持有的帐号越多,也代表在网路上的足迹越多,比较容易被骇客找到可攻击弱点。因此,使用者仍有自保的义务,例如使用强式密码、利用网站的进阶身分认证机制等方法,以及对所持有的帐号进行管理等。然而,针对网路服务的业者这一端,不能只是再偏重防堵资料窃取,或是强化身分验证机制。对于已经注册帐号与权限的管理,特别是闲置帐号,网路服务厂商也必须同样重视。
确认网站帐密是否遭公布有方法,专家级网友收集外洩名单供查询
近期像是Have I Been Pwned、Leaked Source等网站,提供资料外洩帐号的查询,使用者只要输入电子邮件信箱或是使用者名称,这个网站就会从资料库中比对,显示与那些曾经遭骇的网站有关。这也突显一般人可能採用同样的使用者名称或是电子邮件信箱,注册多个网站帐号的情况。
保护数位身分的观念需从小教育
根据赛门铁克在今年2月所做的调查,在台湾,平均每5个人中,就会有1个人与其他朋友或同事共用帐号和密码。但真正值得留意的是,若以不同年龄层来看,18至34岁使用者共用密码的情况最为严重,几乎是接近四分之一(24%)的比例,反观超过55岁以上的使用者,只有不到六分之一(15%)会与其他人共用帐号密码,这也突显年轻人可能比较轻忽共用帐号所带来的资安问题。
照理来说,较为年轻、小时候就能与网路接触的使用者,对于帐号代表特定身分的观念,普遍来说,应该要比年长者来得清楚才对,但实际上却并非如此。因此,在这种情势中,除了提供服务的管理者应该向使用者提倡之外,或许教育单位更应该不时灌输学生,资讯安全是每个人的责任,尤其是捍卫自己的数位身分的重要性。
儘管在法律上已经有个资法保障个人隐私,然而现实情况是,立法对于打击数位时代的网路犯罪,由于难以追查,实际制裁的效果有限,但比起诉求法律约束,远不如建立正确的身分防护观念来得实际,使用者才不至沦为数位时代的输家。
?
?共用帐号与密码的情况,至今仍然非常严重?
即使资安界不断提倡共用帐号的危险性,但根据资安公司赛门铁克公布的2016诺顿网路安全调查报告,现在在台湾,还是每5个人就有1位与其他人共享帐号和密码的情况,而且各年龄层的使用者都有,并非年长者的专利;此外,几乎所有人都会不同程度在多个网站之间共用密码,尤其是网站要求必须採用高强度密码的时候,更是如此。
在台湾,每5人就有1人会与他人共用帐号
虽然申请电子邮件信箱或是脸书的帐号,难度并不高,但令人意外的是,在2016年2月赛门铁克所做的网路安全调查中,受访者仍有高达五分之一会与他人共用帐号,显示仍有相当比例的用户并没有正确的身分使用观念,恐怕会成为资安防护上的严重死角。
年龄层越低,共用密码的情况越严重
由于行动装置的普及,使得上网的年龄层更加广泛,但值得留意的是,共用帐号的情况以18至34岁的情况最普遍,年长者採取的态度显得谨慎许多,因此这也突显了帐号专人专用的概念,必须从小开始建立,才能防止共用密码的情况扩散。
积习难改!大部分使用者会在多个网站使用同一组複杂密码
这次Facebook、Twitter等大型社交网站疾呼,多个网站都要採用不同的密码,在这次赛门铁克的调查中也呼应这样的情况,换言之,几乎没有人彻底落实这样的做法,但由于每个人都拥有许多帐号,单纯呼吁採用不同的密码,恐怕使用者也难以执行,因此应该也要连带推行导入密码的相关管理措施。
(资料来源:诺顿网路安全调查报告,2016年2月)
?
?帐号被骇,使用者大多选择採取更换密码处理?
虽然许多人的密码使用习惯有待改进,然而根据资安公司赛门铁克公布的2016诺顿网路安全调查报告,在台湾,使用者发现帐号遭到盗用时,高达7成的用户会更换密码,但更换密码往往不能解决问题,显示多数人可能偏向消极的处理态度。此外,因应使用者会在多个网站中申请帐号,也有网路资安专家製作搜寻网站,供民众查询帐号是否受到资料窃取事件的影响。
逾7成使用者遭骇后会更换密码
根据赛门铁克的调查,使用者一旦发现受到网路攻击之后,最多人会想到就是赶快更换密码,但多数情况下这种处置只是治标不治本,因此使用者仍应该依据事件可能发生的问题,做出回应。例如,电脑中毒导致帐号遭窃,可能需要扫毒,而信用卡遭到冒用,也要赶快通知发卡银行处理。
(资料来源:诺顿网路安全调查报告,2016年2月)
【相关报导请参考「2016身分保卫战开打!」】
I 相关 / Other
【当单一密码认证不再安全】辅助密码的身分认证机制,你了解多少?
图片来源: Youtube 系统想要在密码以外,进一步验证使用者的身分,採取用户所有的物品进行再次确认,也是相当常见的做法。在我们生活之中,这种机制随处可见,例如使用金融卡提款,就必须在提款机插入卡片,并且验证
央广网河南分网消息 刚满18岁的吉某在一美容院打工,客户让其帮忙教在...关键词:微信;吉某;密码;客户;女子说两句相关阅读 男子冒充美女“色诱”...女子偷记客户密码 监守自盗盗窃现金30000元,据了解,2015年8月初,胡某
bnt新闻讯 韩国演员金所炫出演tvN电视台新剧“打架吧鬼神”的剧本认证照公开,清新美与优雅美大比拼。 8日,sidusHQ通过官方平台公开了一组金所炫的剧本认证照。在公开的照片中,金所炫穿着端正的校服,或一本正
实时热点 关键字: 记室友密码偷取钱记室友密码偷取记室友密码偷取钱记室友密码取钱盗刷 日前,一小伙因记室友密码偷取钱被抓。当时小伙程某听到室友跟家人打...合肥一小伙程某听到室友跟家人打电话时道出了银行卡
超少年密码1 [非常娱乐]王俊凯、王源、易烊千玺等人主演网络奇幻喜剧《超少年密码》将于本月11日开播,该剧讲述少年夏常安(王俊凯饰)因为父母的离奇车祸重伤而决定调查真相,在夏常安各种追查AI的过程中,他也渐渐与