上星期五,Facebook公布一项严重安全事故︰有近5000万帐户的「存取权杖」(access tokens)被盗,「存取权杖」是用来维持用户登入的资讯,盗取后黑客基本上可使用帐户所有功能。
不过Facebook在发现后已经重设所有「存取权杖」,用户只需要重新登入,不用更改密码。昨日Facebook表示已检视记录,未发现黑客透过Facebook帐户登入第三方服务的证据。
近年网络平台遭入侵、帐户资料外洩经常发生,黑客盗取登入资讯后发售图利亦不罕见。早前比较各种信用卡、借贷、按揭服务的网站「moneyguru」发表报告,指在调查了几个在「暗网」(Dark Web)上贩卖个人资料的地方,计算出各种网络帐户的平均售价。
根据他们的调查,每笔信用卡资料只需要92.6英镑(约943港元),PayPal帐户则价值258英镑(约2628港元)。相比之下,社交网体帐户非常廉价,一个Facebook帐户的资讯只值3英镑(约30港元),Instagram帐户则为4.8英镑(约49港元)。
那么,担心帐户资料外洩的人可以怎么办?
Mozilla在上月推出新服务Firefox Monitor,任何人只要在其网站上输入自己的电邮地址,就能透过对比过往外洩的数据,检查使用此电邮登记的帐户有否外洩,如有的话是哪个网站、洩漏了哪些资料等。
Firefox Monitor的资料外洩数据来自网站「Have I Been Pwned」(HIBP),后者资讯安全专家洪特(Troy Hunt)于2013年创立,他透过收集资料外洩数据,让访客可以输入电邮检查自己的帐户资讯有否被公开。
其后HIBP使用资讯安全研究员韦特(Jordan Wright)製作的监察程式,自动把外洩资讯加入其数据库。
假如你发现自己的帐户密码曾经外洩,记得为相关帐户更改密码,而且不要重用该密码。万一你已经忘记自己当时使用甚么密码也不要紧,HIBP也可以让你检查其他密码是否安全。
现时HIBP收集到的帐户资讯中,已经包含超过5亿个密码。用户可以在网站上「Passwords」的部份,输入自己的密码检查是否安全,假如出现在其数据库中会显示警告,例如「password」在其数据库中出现逾353万次,大家千万不要再用这个密码︰
目前安全不保证将来没有意外,所以Firefox Monitor及HIBP均可让人登记电邮,他日有跟该电邮有关的帐户资讯外洩时,系统会自动寄出通知,以便受害者尽快更改密码,保障帐户安全。
正所谓预防胜于治疗,上述措施只能让人及早补救,但在确保帐户安全方面,用户应採取以下措施︰
一,使用安全密码。除了足够长外,还需要不易猜中,例如不要用生日日期、电话号码等资讯,假如希望容易记得,可以选几个生字结合使用(更好的方法是用密码管理员,见第五项)。
如果网站有採取基本的安全措施,伺服器不会直接记录密码,而只会记录经过杂凑函数(hash function)转换的字串,用户登入时需要对比这个字串来确认密码。这样的话,即使伺服器遭入侵,密码本身不会外洩,黑客只得到转换后看似随机的字串。一般情况下,密码越长,黑客便需要越多时间找出杂凑函数转换前的内容(即密码),因此安全的密码可以为用户争取更多时间修改密码。
二,开启双重认证(two-factor authentication)。到了2018年,所有需要密码登入的系统都应该支援双重认证,而且所有人都应该使用。特别需要注意的是,利用手机短讯(SMS)接收验证码并不安全,不建议使用,用户可以在手机安装验证应用程式,甚至购买硬件的验证装置。
三,每个帐户使用不同密码。由于大脑能记住的资讯有限,很多人都倾向在不同帐户重複使用密码,但万一其中一个帐户的电邮及密码外洩,黑客便容易可以利用这资讯控制其他帐户。
四,把密码提示问题视作另一个密码。外洩的帐户资讯中,有时会包含密码提示问题及答案,而且往往未经加密,影响帐户安全。这项措施理应被淘汰,但假如系统仍然要求你设定有关问题和答案,应跟设定密码一样处理,不要在其他帐户使用相同问题及答案,并记得储存在安全地方。
五,使用密码管理员(password manager)服务。每个帐户都要使用不同而且安全的密码,对一般人来说也太难记得,写下来的话又不安全。较好的做法是使用密码管理员,这类服务会为你的每个帐户产生安全密码。密码管理员亦须密码登入,因此仍应接照上述建议选择一个安全密码,以及开启双重认证。
相关文章︰
使用「双重认证」登入便安全?首先别再以SMS接收验证码 保安专家︰经常转换密码 可能适得其反 Facebook严重安全漏洞︰毋需密码可使用帐户 近五千万人受影响资料来源︰
Security Update September 28, 2018 (Facebook Newsroom) Facebook Login Update (Facebook Newsroom) How much is your data really worth to criminals? (Money Guru) Firefox Monitor Have I Been Pwned?