上星期五,Facebook公布一項嚴重安全事故︰有近5000萬帳戶的「存取權杖」(access tokens)被盜,「存取權杖」是用來維持用戶登入的資訊,盜取後黑客基本上可使用帳戶所有功能。

不過Facebook在發現後已經重設所有「存取權杖」,用戶只需要重新登入,不用更改密碼。昨日Facebook表示已檢視記錄,未發現黑客透過Facebook帳戶登入第三方服務的證據。

近年網路平台遭入侵、帳戶資料外洩經常發生,黑客盜取登入資訊後發售圖利亦不罕見。早前比較各種信用卡、借貸、按揭服務的網站「moneyguru」發表報告,指在調查了幾個在「暗網」(Dark Web)上販賣個人資料的地方,計算出各種網路帳戶的平均售價。

根據他們的調查,每筆信用卡資料只需要92.6英鎊(約943港元),PayPal帳戶則價值258英鎊(約2628港元)。相比之下,社交網體帳戶非常廉價,一個Facebook帳戶的資訊只值3英鎊(約30港元),Instagram帳戶則為4.8英鎊(約49港元)。

Image Credit: VectorDoc / Shutterstock / 達志影像

那麼,擔心帳戶資料外洩的人可以怎麼辦?

Mozilla在上月推出新服務Firefox Monitor,任何人只要在其網站上輸入自己的電郵地址,就能透過對比過往外洩的數據,檢查使用此電郵登記的帳戶有否外洩,如有的話是哪個網站、洩漏了哪些資料等。

Firefox Monitor的資料外洩數據來自網站「Have I Been Pwned」(HIBP),後者資訊安全專家洪特(Troy Hunt)於2013年創立,他透過收集資料外洩數據,讓訪客可以輸入電郵檢查自己的帳戶資訊有否被公開。

以香港行政長官電郵登記的一些帳戶,也曾有資料外洩。

其後HIBP使用資訊安全研究員韋特(Jordan Wright)製作的監察程式,自動把外洩資訊加入其數據庫。

假如你發現自己的帳戶密碼曾經外洩,記得為相關帳戶更改密碼,而且不要重用該密碼。萬一你已經忘記自己當時使用甚麼密碼也不要緊,HIBP也可以讓你檢查其他密碼是否安全。

現時HIBP收集到的帳戶資訊中,已經包含超過5億個密碼。用戶可以在網站上「Passwords」的部份,輸入自己的密碼檢查是否安全,假如出現在其數據庫中會顯示警告,例如「password」在其數據庫中出現逾353萬次,大家千萬不要再用這個密碼︰

目前安全不保證將來沒有意外,所以Firefox Monitor及HIBP均可讓人登記電郵,他日有跟該電郵有關的帳戶資訊外洩時,系統會自動寄出通知,以便受害者盡快更改密碼,保障帳戶安全。

正所謂預防勝於治療,上述措施只能讓人及早補救,但在確保帳戶安全方面,用戶應採取以下措施︰

一,使用安全密碼。除了足夠長外,還需要不易猜中,例如不要用生日日期、電話號碼等資訊,假如希望容易記得,可以選幾個生字結合使用(更好的方法是用密碼管理員,見第五項)。

如果網站有採取基本的安全措施,伺服器不會直接記錄密碼,而只會記錄經過雜湊函數(hash function)轉換的字串,用戶登入時需要對比這個字串來確認密碼。這樣的話,即使伺服器遭入侵,密碼本身不會外洩,黑客只得到轉換後看似隨機的字串。一般情況下,密碼越長,黑客便需要越多時間找出雜湊函數轉換前的內容(即密碼),因此安全的密碼可以為用戶爭取更多時間修改密碼。

Image Credit: ImageZoo / Corbis / 達志影像

二,開啟雙重認證(two-factor authentication)。到了2018年,所有需要密碼登入的系統都應該支援雙重認證,而且所有人都應該使用。特別需要注意的是,利用手機簡訊(SMS)接收驗證碼並不安全,不建議使用,用戶可以在手機安裝驗證應用程式,甚至購買硬體的驗證裝置。

三,每個帳戶使用不同密碼。由於大腦能記住的資訊有限,很多人都傾向在不同帳戶重複使用密碼,但萬一其中一個帳戶的電郵及密碼外洩,黑客便容易可以利用這資訊控制其他帳戶。

四,把密碼提示問題視作另一個密碼。外洩的帳戶資訊中,有時會包含密碼提示問題及答案,而且往往未經加密,影響帳戶安全。這項措施理應被淘汰,但假如系統仍然要求你設定有關問題和答案,應跟設定密碼一樣處理,不要在其他帳戶使用相同問題及答案,並記得儲存在安全地方。

五,使用密碼管理員(password manager)服務。每個帳戶都要使用不同而且安全的密碼,對一般人來說也太難記得,寫下來的話又不安全。較好的做法是使用密碼管理員,這類服務會為你的每個帳戶產生安全密碼。密碼管理員亦須密碼登入,因此仍應接照上述建議選擇一個安全密碼,以及開啟雙重認證。

相關文章︰

資料來源︰

參考來源