< CTO 觀點 >從LinkedIn 逾一億資料外洩事件,看密碼設定等更多未解的問題

 

Raimund Genes (CTO)

 

 

作者:趨勢科技技術長CTO Raimund Genes

 

 

報導指出2012年的LinkedIn資料外洩事件和原本的認知有很大的差距:並非如當時所說的是650萬筆紀錄遭竊,事實上,有1.67億使用者受到影響。其中有1.17億筆的資料包含使用者的電子郵件地址和密碼。

linkedin

直到這些大量的外洩資料在黑暗網路社群上進行販賣,才讓所有人意識到這變得更加嚴重的問題。LinkedIn發表一篇文章確認了此外洩資料的真實性,並且要求受影響的使用者重設密碼。

我也是受影響的人之一,所以我研究了一下。如果我選擇Raimund_Genes作為密碼,系統會出現綠色並且說是可行的密碼。當我嘗試使用Linkedin_Raimund,它也會被標示為強密碼。但這些都不是我所認為的強密碼。你發生了受人注目的資料外洩事件,應該要利用這個機會來重新教育使用者來使用強密碼。

顯示或取得我的瀏覽器、作業系統和位置資訊可能也並非是個好主意:

 

除了「可笑」的密碼等級外,還有一些其他值得關注的地方。目前還不清楚為何會誤判資料外洩的規模大小,是什麼導致大家認為這起2012年的事件比真正的規模要小的多。LinkedIn的使用者有權知道發生了什麼事 – LinkedIn知道什麼,他們什麼時候知道的?到底有多少使用者受到影響,有哪些資料處在危險中?

資料外洩後要通知使用者一向是個棘手的問題,粗淺的保證並不夠,尤其是當企業擁有這麼多有價值的資料時。使用者的信任是任何生意的關鍵。

這起事件本身也環繞著許多問題。雖然已經證實了它的真實性,為何事件規模仍然受到隱瞞?我們知道誰該為這起資料外洩事件負責及這些資料被如何使用嗎?

這並非是說LinkedIn沒有努力去提高他們的安全性。LinkedIn在2012年資料外洩事件後開始用加料式雜湊(salted hash)來儲存密碼。他們還在2015年讓新設備登入使用兩步驟認證。一點一滴的有許多受歡迎的作法實施,不過也總是有地方可以再加以改善。

比方說,許多知名網站都已經使用基於RFC 6238的多因子認證系統,最有名的就是Google。這會比現行系統只有保護在新設備上進行登入要來得更加完善。

關心自己LinkedIn帳號安全的使用者應該要善加利用可用的工具。強密碼(隨機產生並儲存在密碼管理程式)和啟用兩步驗證都是必備的做法。

這次資料外洩事件留下了更多未解的問題。希望在不久的將來,相關單位能夠準備好答案,讓使用者可以採取必要的措施來保護自己。

 

@原文出處:LinkedIn Breach: More Questions than Answers

 

延伸閱讀:密碼安全提示問題竟讓小廣吃味了!

LINE公布「七大不安全登入密碼」,快來檢查你的密碼上榜了嗎?

 

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數