從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?(含歷年最駭密碼一覽表)

 

利用便利貼記密碼是個好方法嗎?
利用便利貼記密碼是個好方法嗎?

 

根據Yahoo 遇駭事件,10大最駭密碼,多熟臉孔,其中「123456」踢下2011年奪冠的最駭密碼「password」,按照鍵盤位置排序的「qwerty」再度入圍。

當您在註冊線上服務時,您是否也會使用常見名稱、生日或容易猜到的數字組合來當密碼?您是否還在使用 123456welcome、甚至是 password 等簡單、容易記得的單字?您所有的線上服務是否都使用相同的密碼?

看看 2011 年爆發的一連串資料外洩事件,而且至今仍經常發生的情況,您所冒的風險就可想而知。七月中,Yahoo Contributor Network 服務平台有將近 50 萬筆使用者名稱和密碼失竊。就在前一天,Formspring 意見交流網站也發現自己有 420,000 筆使用者密碼失竊。去年六月,光是一個星期之內就有 LinkedIneHarmonylast.fm 等三家公司的數百萬筆使用者帳號密碼外洩。

我們曾多次不厭其煩地提醒您該如何挑選密碼:

失竊的 Yahoo 密碼長度大約都在 6 至 10 字之間。所以,將您的密碼設長一點。至少要 10 至 12 個字,如果是敏感的網站,例如網路銀行,則再設長一點。使用多個字組成的詞,而不是一個單字的密碼。 請參考Yahoo 雅虎遇駭,10大最駭密碼,熟臉孔過半

Yahoo被駭密碼

  1. 隨意組合多個無意義的字,千萬別用慣用詞。
  2. 別使用您在其他服務上已經用過的密碼,或是同一服務其他帳號的密碼。萬一網路犯罪者破解了您的密碼,而您所有服務都用同一個密碼,那您的資料就遭殃了。
  3. 使用趨勢科技可以免費試用趨勢科技DirectPass密碼管理 e 指通之類的密碼管理程式來輕鬆存取放在雲端的密碼。

不管如何,您的密碼管理系統不可能完全滴水不漏。最近發生的一些事件突顯了一項真正的風險:那就是服務供應商的資訊外洩問題。這就好像您在前門設置了各種高科技鎖,卻發現歹徒直接從後門進入,而且使用服務供應商極機密的萬能鑰匙。

當您的服務供應商發生資料外洩時,您該怎麼辦?

如果您已遵照了前述的第 3 條指示,您至少可以降低衝擊,不讓問題擴大到其他帳號。不過,只要聽到您在使用的某個線上服務發生資料外洩,您最好還是清除一切資料,並且重新設定密碼。

如需更多有關網際網路安全的技巧、建議與警示通知,只要在 Facebook 上的趨勢科技TrendMicro網頁按一下「讚」即可:www.facebook.com/trendmicrotaiwan

原文來源:How to Minimize the Impact of an Online Service’s Security Breach

@延伸閱讀

Yahoo 雅虎遇駭,前10大最駭密碼,熟臉孔過半

關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件,看六種密碼被竊的手法(上)

我複製、貼上密碼,他在幕後接收!-從Hotmail 密碼外洩事件,看六種密碼被竊的手法(下)

 

Linkedin 被駭密碼被駭密碼

 

 

 

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

 

◎ 歡迎加入趨勢科技社群網站
 

 

IP地址會提供哪些關於你的資訊?

作者:趨勢科技資深分析師Rik Ferguson

照片授權來自AhmadHammoud的Flickr

 

今年情人節,英國重大組織犯罪署(SOCA)取得一個之前被用來散佈版權內容的網域控制權,特別是音樂檔案。這個有問題的網域是rnbexclusive.com(我知我知……RnB,為什麼是你?)SOCA用一個很直接的訊息取代首頁,告知訪客這網站已被採取的行動,並警告他們可能會面臨10年徒刑和無上限的罰款。 來自英國執法單位的訊息寫著:「如果你曾經從這網站下載過音樂,那你可能已經犯了刑事罪,根據英國法律,最高可判10年的徒刑以及無上限的罰款」。

作為恐嚇的手法,這訊息還會同時顯示目前的時間日期和訪客的IP地址,瀏覽器類型和作業系統;這應該也是要證明執法單位手上所握有的「證據」。就像是用數位方式來宣讀你的權利,網站訪客被告知了:「SOCA有能力監視和調查你,並通知你的網路服務供應商這些侵權行為。你可能會被起訴,你收到的訊息也說明了並不會排除起訴你的可能。

SOCA網站上的新聞稿中提到,國際唱片業協會(IFPI)估計,這些侵權行為對於企業和唱片工作者所造成的損失是每年一千五百萬英鎊。而在同一個新聞稿裡也提到,有三個類似網站已經決定主動地採取行動,自願張貼通告,說明他們只處理合法的內容。從執法的角度看,這是一項成功的行動。   接著讓我們來想想,這給網站訪客看的所謂「證據」,是否真的可以有效地確認個人身分。

IP地址會提供哪些關於你的資訊?

連到網路上的每台電腦都有一個唯一的識別碼,好讓網路流量可以到達正確的目的地,也讓回應可以回到正確的對象。在網際網路上,這個識別碼就是IP地址。有時電腦在網路上有自己的獨立IP地址,不過如果它們有透過路由器或無線基地台來連網,那通常在外部網路上會看到的是這些設備的IP地址。所以實際上這些設備會放在所有內部電腦的前面,這意味著一個IP地址可能代表多台電腦。 在大多數情況下,你的IP地址是由你的ISP所分配的。你的IP地址中並看不出你的姓名、地址甚至是(確切地)地理位置。

想知道在特定時間內某個IP地址的詳細資料,只有ISP可以做到。他們有客戶資料,他們也會記錄在什麼時候,分配客戶那個IP。只有拿到這些記錄才可以得到進一步的資料。想要索取這記錄可能需要執法單位向法官提出申請,在提出申請之前也都需要先提供有非法活動的證據。 而以rnbexclusive.com的例子來說,很有可能已經有足夠的證據去獲得批准來索取這些記錄。所以接下來會如何?

IP地址可以證明身份嗎?

在上述例子中,在大多數情況下,ISP提供的資料可以證明是哪一個路由器所在的地址有發生網路使用人涉嫌侵權的行為。

它不能證明是誰作的,甚至也無法證明是哪一台電腦。而且這還是在犯罪行為人沒有使用代理伺服器(Proxy)來掩蓋自己真實IP的情況下。

繼續閱讀

<小心保護線上隱私與不當分享後遺症>臉書上罵老闆,判公然侮辱罪! 離婚官司從臉書蒐證

今天中午小編看到一則新聞說:有人PO 文侮辱店長像中國來的大嬸,而被提告,事實上法國一名電話客服男子在臉書上罵「爛老闆」法國男遭判公然侮辱罪,雖然男子強調是因為前一天有同事自殺,他才會做出這種貼文。不過,法院仍指出「該言論超出合理批評範圍」,判定他觸犯「公然侮辱罪」。該男子被判罰款500歐元(約1萬9千元台幣) 。最近的案例是臉書客家人高中生挨告 ,如果遇到道歉不能平復的事,像這樣道歉無效!新竹客家人控告高三女 就要傷腦筋了。

越來越多人會在網路上處理各種個人事務(像是網路購物和使用網路銀行)。你一定會想知道,到底有多少你的資訊可以在網路上被看到(包含你現在或未來的老闆;包含你打官司時對方的律師)。網際網路跟我們的日常生活已經結合的如此緊密,網路犯罪份子也會用更新、更有創意的方式來打破我們在網路上的隱私。

社群網站 過分分享的陷阱

 

一切都跟廣告有關

因為網際網路用途的大量增加,也讓網路公司很有興趣去追蹤大家都在網路上做些什麼。好讓這些公司可以據此來行銷產品和服務,多數人也都可以在社群網站、新聞部落格、線上娛樂頻道看到。事實上,網路廣告已經是大多數網站的金錢來源。

在2010年,Google披露了他們96%的收入來自廣告(放在自身網站或使用其廣告業務的網站上)。而社群網路巨頭Facebook的全球廣告收入也預估會在2011年上升104%,來到38億美元。

因為一些廣告服務供應商(像是Google AdSenseYahoo! Advertising Solutions)都提供客製化廣告的服務,你應該會發現服務供應商和廣告商是可以追踪你的線上活動的。廣告商會想辦法去收集資訊,比方說從你去過的網站和你填寫的線上個人資料中得知。

客製化廣告:仙丹還是毒藥?

大部分網站的廣告需求都是經由第三方廣告網路來管理。線上廣告或是廣告網路是中介廣告商和希望提供廣告的網站所有者間的橋樑,廣告網路使用集中伺服器去提供對的廣告給對的網站訪客,也會在網路上監看著使用者的活動。

廣告網路還可以讓第三方公司透過使用者的網頁瀏覽記錄來觀察他們的線上活動,進而了解他們的喜好。雖然對某些人來說,將使用者與可能引起他們興趣的網路廣告做配對不是什麼問題,但也有些人覺得這是種對隱私的侵犯。對多數賣家來說是很方便跟有用,但對於他們所監看的人來說卻是在侵犯隱私。

要在瀏覽網頁時保護個人隱私,牢記下面的秘訣:

· 定期刪除CookieCookies存放了網站相關資訊,所以有可能被網路犯罪分子所竊取利用。刪除Cookie有一個缺點,就是每當你再次訪問網站時,都會要求你重新輸入帳號名稱和密碼。

· 使用隱私瀏覽:瀏覽器提供這種特殊模式好讓你的網路活動得以保密,不被窺探。選擇隱私瀏覽會使用新的瀏覽器視窗,並且會在你關閉視窗時刪除所有的歷史記錄和cookie。但是要注意的是,如果你的視窗還是開著,並不保證可以保持匿名,會讓廣告商仍然可以追踪到你。

· 使用網路廣告促進會(NAI的選擇退出(Opt-out)工具。這個工具讓你可以選擇退出客製化廣告的目標。身為促進網路廣告自我節制的組織,網路廣告促進會(Network Advertising Initiative,NAI)讓你可以選擇不接受其成員公司的廣告行銷。因此,你可以不再被這些會量身打造廣告,但被你所封鎖的廣告公司所打擾。

社群網站 過分分享的陷阱

當廣告網路需要根據你的網站偏好和使用模式來猜測你會感興趣的內容時,社群媒體已經擁有了所有的資訊,他們只需要你自己不停的提供給他們。感謝社群媒體整合了多個網站,社群網站可以很簡單的找到你的好惡。

也因此,社群媒體「採礦」快速地成為業界的標準做法,尤其是對那些保險和人力資源(HR)公司來說。比方說,他們會監看社群媒體好找到可能的詐騙案子,特別是根據報導,這些詐騙案每年會讓保險業損失大約三千萬美元。

被貼到社群網站的內容,現在也會被拿來在法庭聽證會上作為證據。像是在離婚過程中,會利用上傳到Facebook的照片來證明丈夫的不忠。

在這個案例中美國法官命令1對離婚夫妻互換Facebook密碼,法院下令,申請離婚的夫婦必須向對方提供所有社交網站的密碼,以便於雙方律師能夠登錄尋找指控證據。根據法庭的命令,夫婦雙方都被禁止修改社交網站密碼,也不能刪除任何資訊。另外,他們也被禁止用對方的帳號發佈消息,弄虛作假或抹黑對方。

這是另一個案例,法國一名電話客服男子在臉書上罵「爛老闆」法國男遭判公然侮辱罪,法院裁定他的公然侮辱罪成立。(台灣有這個PO文辱店長像「中國來的大嬸」 挨告)
就職於法國西北部康城Webhelp電話客服中心的職員艾瑞克(Eric Blanchemain),2010年11月在公司工會的臉書上寫著 “Shitty day, shitty job, shitty company, shitty bosses”(很爛的一天、爛天氣、爛工作、爛辦公室、爛老闆。)發文後,他隨即遭到公司停職5天。

繼續閱讀

關於密碼千萬不要做的四件事與密碼設定小秘訣

作者:趨勢科技全球安全研究副總裁 Rik Ferguson

對待密碼就跟對待你的牙刷一樣不要跟任何人共用(Clifford Stoll)

對待密碼就跟對待你的牙刷一樣,不要跟任何人共用,而且每6個月就要換新的
對待密碼就跟對待你的牙刷一樣,不要跟任何人共用,而要定期換新

你知道這是什麼意思嗎?如果你是那種會在各個網站都用同一個密碼的人,那今天就是該改變的時候了。開始變更密碼,並且改掉這習慣。網路駭客們可能已經有了你的電子郵件地址和共通密碼。他們也可能已經有你安全問題的答案了,這也是常被重複使用的地方。

在不同網站都使用相同的密碼絕對不是個好主意。所以試著為你所用的每個網站都建立獨特的密碼。雖然這可能聽起來很複雜,也不大可能記得住,不過這裡介紹一個簡單的作法來做到。

首先,關於密碼千萬不要做的四件事

  1. 不要字典裡選字
  2.  不要使用姓名、出生日期、年齡、電話號碼、寵物名字、球隊或任何跟你有關的東西
  3.  不要在不同用途的地方都使用相同的密碼
  4.  不要跟別人共用你的密碼,絕對
    相關案例:跟另一半共用帳號嗎?(信件被偷窺導致失去孩子監護權真實案例)

蠻力破解工具會使用字典攻擊和混合字典攻擊(自動將字典裡的單字用常見的數字/特殊符號置換方式修改過)。所以如果只是拿字典裡的單字,再將幾個字母置換成數字是絕對不夠的(利用將Password改成P455w0rd!)。這樣的密碼在短短幾分鐘內就會被破解。

所以你該這麼做。

  1.  先找出你可以很容易記住的一句話,比方說:
    Mötley Crüe and Adam and the Ants were the soundtrack of my youth.繼續閱讀