來自俄羅斯駭客的攻擊
2022 年 3 月 12 日,Microsoft 通知我,我的帳號在俄羅斯有異常的活動,已經被 Microsoft 擋下來了。當下我立刻執行帳號被盜用的 SOP:更換密碼和登出所有裝置。
更換完密碼之後,我回過頭來檢查 Microsoft 的帳戶安全時,我發現我當時開啟的是 Microsoft 的「使用手機登入」功能,而不是「兩步驟驗證」。
「使用手機登入」讓你可以透過在手機按下一個按鈕就不用輸入密碼,但他只是多了一種登入方式,原本使用密碼登入的功能還是存在,我猜這就是讓駭客有機可乘的可能原因之一。
發現這個問題之後,我馬上就開啟了真正的「兩步驟驗證」功能,也就是即使輸入對的密碼,也還要在手機 app 上按下按鈕,才能登入。
有了這次的經驗,我對於資訊安全又有更深入的認識,因此整理了這篇文章來幫助大家增加帳號安全。
兩階段認證
兩階段認證是我認為最能有效提升帳號安全的方法,基本上所有Email、社群媒體和跟錢有關的帳號都能開啟這個功能。只要到設定當中的「帳戶安全」項目裡就能找到。常見的兩階段認證方式有兩個
第一個是大家比較熟悉的簡訊,在新的電腦登入帳號時,手機會收到包含一串數字密碼的簡訊,必需輸入那串密碼才能登入。
第二種是Authenticator app(下圖),不用透過網路或簡訊,手機 app 每 30 秒會換一組 6 位數密碼,登入時輸入那串密碼即可。由於開啟 Authenticator app 時可以設定需要臉部辨識或指紋辨識,所以安全度比簡訊稍微高一點。
最常見的 Authenticator app 包含 Google 和 Microsoft 的,我自己比較推薦 Microsoft ,因為還可以當作是 Microsoft 帳號的帳號安全 app,而且有備份功能,如果手機突然壞了,Microsoft 不用重新設定。也就是說 Microsoft 的 Authenticator app 比 Google 的多了兩個功能。
不要存在瀏覽器中
很多人會選擇把密碼存在 Google Chrome 裡面,但我認為存在 Google Chrome 還是有一些風險。
Google Chrome 在自動填入密碼時是不用輸入任何密碼的,如果你在咖啡店去上廁所,電腦忘了關掉,有心人士就可以直接使用你的密碼登入。但像是 Bitwarden 和 1Password 這種軟體,就會需要輸入密碼(該 app 的主密碼)才能自動填入。
另外,Bitwarden 和 1Password 對於不是使用全套蘋果系統的人,可以更好的跨裝置儲存密碼。
重要密碼設定
在「Google時代一定要會的整理術」書中,前Google資訊長梅瑞爾、馬丁教讀者怎麼設定密碼最安全:其秘訣就是要使用不同排列組合的密碼提示。
比如說:「第二次出國的城市+高中最愛樂團+符號+Tom手機末三碼(不要用本名)」,答案可能是:TokyoOneDirection-526。第一個提示家人知道;第二個同學知道;第三個同事知道。如果他們三個拿到你的密碼提示(機率已經夠低了),還串通好要一起盜領你的錢,那真的就是天命了。
密碼本來就不可能永遠安全,但我們可以把破解的機率降到0.01%。這個方法比直接用同一組密碼打天下或是讓手機幫你記提款機密碼都安全多了。只要先想好約10個密碼提示,排列組合就用不完了。
普通密碼設定
不重要的密碼(如圖庫、筆記、音樂…)就用亂碼(如:e!Z^Ws3#of^K%s)並讓手機、瀏覽器或 Bitwarden 和 1Password 幫你記。
總結
普通密碼:使用亂碼 + 存在密碼 app 當中
重要密碼:存在密碼 app 當中 + 兩階段認證
金融密碼:使用密碼提示 + 兩階段認證 (不要以完整密碼形式存在任何地方)
