雙重驗證是什麼?對於網路安全的重要性為何?

雙重驗證是什麼?對於網路安全的重要性為何?

我們在網路上購物、管理銀行帳戶、從事社交、工作與娛樂活動。但隨著我們日漸倚賴網路,相關的風險也與日俱增。駭客四處潛伏,伺機竊取我們的身分、掏空銀行帳戶,或是綁架電腦。因此,我們必須格外審慎,妥善保障自己的數位安全。

您或許聽過雙重驗證 (2FA),並好奇它究竟是什麼;其實 2FA 在網路安全的領域,已成為一項日漸重要的工具,若能搭配個人電腦/行動裝置安全軟體以及密碼管理程式,即可構成捍衛數位安全的「鐵三角」。以下是您必須瞭解的重點:

首先,2FA 為何如此重要?

資料外洩已成為新的常態。2017 上半年遭竊資料就超過 2016 全年總和。這些攻擊曾經重創全球最大的零售供應鏈 (Target、Home Depot、TJX)、飯店 (Hyatt、Hilton)、網際網路公司 (Yahoo、eBay、LinkedIn) 及其他眾多企業,從而大量竊取這些公司的客戶用來存取帳戶的帳密資訊。一旦取得憑證,罪犯便能劫持這些帳號 (以及其他共用密碼的服務) 來掏空財產、竊取更機密的個資,並以您的名義購買商品與服務。

目前已有數十億筆登入憑證資料在暗網 (dark web) 流通。去年,單是 Yahoo 一家業者,就承認有 30 億筆使用者記錄遭駭。2017 年 12 月,一處地下網站經發現設有 14 億筆遭竊帳密的資料庫供駭客使用,這是迄今已知規模最大的案件。

這些事件的教訓是什麼?採用良好的密碼安全機制,方為上策但是日益猖獗的入侵接踵而至,不但持續威脅登入憑證的機密性,也使得網路帳戶的安全管理更加棘手。而這就是雙重驗證派上用場的時刻。

這項機制如何運作? Continue reading “雙重驗證是什麼?對於網路安全的重要性為何?”

Mozilla主控密碼沒有看起來那樣安全

雖然Mozilla Firefox瀏覽器一直是最受歡迎的瀏覽器之一(其他還包括Google Chrome及好幾代的微軟瀏覽器),但它頗受好評的一項安全功能似乎並沒有看起來那麼有效。根據AdBlock Plus擴充套件作者Wladimir Palant的說法,Mozilla Firefox和Thunderbird的“主控密碼”所用加密機制很容易受到暴力破解。

Mozilla主控密碼沒有看起來那樣安全

主控密碼主要是作為儲存在瀏覽器或郵件客戶端內密碼字串的加密金鑰。它的主要問題出現在其SHA-1函式中,這函式的疊代次數設為1次,而業界標準至少是10,000次。因為GPU技術的長足進步,較少的疊代次數讓攻擊者可以利用暴力破解來取得主控密碼,使得一分鐘內就可以解密儲存在Mozilla資料庫內的加密密碼。

這並非主控密碼第一次出現問題 – 約十年前就有一份臭蟲報告指出了系統缺陷。

Mozilla目前正在測試代號為Lockbox的新密碼管理器,這密碼管理器將提供改進的密碼管理和線上安全。Lockbox目前可以以擴充套件型式取得,正在進行alpha測試。

強密碼的重要性

雖然Mozilla提供主控密碼等功能值得讚賞,但依然存在了缺陷。因此,使用者不應該僅僅依靠內建的密碼管理器來保護網路帳號,而是要確保自己的密碼盡可能地強大。 Continue reading “Mozilla主控密碼沒有看起來那樣安全”

14 億筆帳號密碼外流到黑暗網路,光換密碼夠嗎?

有些你已經不再使用的年代久遠的網站和服務,密碼被盜沒關係?但由於網路使用者經常在不同網路帳號上使用相同的密碼,因此就算是老舊資料,對駭客也還是非常具有價值,因為他們還是可以進入一些目前仍在使用中的帳號。 

14 億筆帳號密碼外流到黑暗網路,光換密碼夠嗎?

近日有一則相當令人擔憂的消息:研究人員在地下網路最深的某個角落發現了一個祕密寶藏,裡面含有 14 億筆之前遭到外洩的使用者名稱和密碼。沒錯,14 億筆,搞不好你的帳號也在名單上。所以,如果你有多個不同帳號重複使用相同的密碼,那麼這些帳號很可能都已成了駭客的囊中之物。多年來,密碼管理一直是使用者頭痛的問題,既然如此,那何不利用這個機會好好解決一下你密碼的管理問題,讓駭客永遠沒有機會靠近你?

趨勢科技密碼管理通」能為你解決密碼安全與密碼管理的頭痛問題,節省你的上網時間,讓你重新掌握主動權,現在就讓我們來看看。

外洩帳號和密碼來自數百起資料外洩事件

這則發生在黑暗網路的事件對任何不善於管理密碼的網際網路使用者來說,都是一記響亮的警鐘。這個高達 41 GB 的資料庫就潛藏在網路犯罪地下論壇當中。更有甚者,這些使用者名稱與密碼組合是以明碼的方式保存,因此駭客甚至是沒有技術背景的一般人都可以很輕易地搜尋並找到他們想要的資料。

不僅如此,資料庫內這些外洩而來的帳號和密碼,目前已證實為真實資料,而且是從數百起資料外洩事件當中彙整而來,包括:LinkedIn、MySpace、Last.FM 和 Netflix 等知名網站都在其列。其中有將近兩億筆資料之前從未以明碼的方式出現過。這意味著什麼?這意味著駭客只要取得這份資料庫,很快搜尋一下,就能輕易登入受害者的網路帳號。 Continue reading “14 億筆帳號密碼外流到黑暗網路,光換密碼夠嗎?”

不駭怕? 英國國會議員與他人共用帳密是常態!

本部落格曾在“關於密碼千萬不要做的四件事與密碼設定小秘訣”這篇文章中提到:密碼就跟你的牙刷一樣,不要跟任何人共用。但英國國會議員似乎不這麼認為….

英國國會議員的密碼使用習慣在經過幾位國會議員的推特發文之後遭受嚴格地檢視。事件導因於中貝德福郡議員Nadine Dorries就國務卿Damien Green的推特發文發表評論之後。

不駭怕? 英國國會議員與他人共用帳密是常態!

Dorries在一開始的留言裡稱自己的工作人員(包括交換計劃的實習生)可以用她的電腦來幫她管理電子郵件。經過Twitter用戶和新聞評論員的反應之後,其他國會議員也相繼回覆她的留言。一名議員說自己經常忘記密碼而必須問他的工作人員,另一位則說會讓電腦保持在不上鎖的狀態,並且與辦公室主管共用密碼。

除了議員,前員工也參加了討論。一位前研究員說當自己為一名議員工作時,他會定期登入並使用老闆的電腦。BBC NewsNight的製作人也補充說國會議員與工作人員共用登入資訊是常見的做法。

UK MP tweet

圖1、來自國會議員和其他人分享安全作法的留言

 

當英國資訊專員辦公室(ICO)提醒國會議員有義務保護自己的資料,資安專家也對他們加以批評。共用密碼被認為是不安全的;能夠使用電腦的人越多,被有意或無意濫用的機會就越大。任何一個處理敏感資料的人都應該啟用雙因子身份認證 – 現在就算是一般的電子郵件服務也提供這選項,都是因為2016年大規模的資料外洩事件所帶來的影響。 Continue reading “不駭怕? 英國國會議員與他人共用帳密是常態!”

研究報告:30% 的頂尖 CEO(執行長)電子郵件密碼曾經外洩;遭駭排行 LinkedIn 居首, Dropbox其次

全球大企業執行長將近每三人就有一人在其使用的網路服務發生資料外洩之後 電子郵件帳號即遭到入侵。根據最近發表的一份研究報告指出,約 30% 的全球頂尖企業執行長都曾經發生其使用公司電子郵件信箱註冊的網路服務密碼遭到外洩的情況。這項針對全球 10 個國家 200 多家大型企業執行長所做的調查指出,執行長使用公司電子郵件信箱註冊或連結的網路服務最常遭駭的是 LinkedIn (53%) 和 Dropbox (18%),其次是 Adobe 和 Myspace。

研究報告:30% 的頂尖 CEO(執行長)電子郵件密碼曾經外洩;遭駭排行 LinkedIn 居首, Dropbox其次

此外,研究也指出,有 81% 的執行長很可能因為垃圾郵件散發名單和行銷資料庫外洩事件而使得其電子郵件及其他個人身分識別資訊 (PII) 外流。這樣的情況最常發生在英國、美國、荷蘭及法國的執行長,而義大利和日本的執行長則最不常發生這種狀況。該研究交叉比對了這些執行長的公司電子郵件信箱以及一些公開資料庫當中已外流的登入憑證。

在這份報告發表之前,美國聯邦調查局 (FBI)  才剛警告全球企業應該注意日益崛起的「變臉詐騙」(BEC),FBI 指出這類詐騙已在全球造成十幾億美元的企業損失。從事變臉詐騙的犯罪集團都非常小心,會事先針對攻擊目標進行一番研究,密切觀察其個人與企業的一舉一動。 Continue reading “研究報告:30% 的頂尖 CEO(執行長)電子郵件密碼曾經外洩;遭駭排行 LinkedIn 居首, Dropbox其次”

採礦程式商 Coinhive 遭駭 ! DNS 伺服器帳號因密碼強度不足遭入侵

Coinhive 採礦程式公司是一家相當積極的公司,專門為網站開拓另一種收入來源:不必在網頁上夾帶大量廣告,只要在網頁內嵌開採 Monero (門羅幣) 的 JavaScript 程式碼即可。這些程式碼會使用訪客裝置的運算資源來開採門羅幣。Coinhive 會從開採出來的門羅幣中收取一定比例的傭金,其餘則歸網站所有。
採礦程式商 Coinhive 遭駭 ! DNS 伺服器帳號因密碼強度不足遭入侵
10 月 24 日,Coinhive 公司發出聲明表示該公司所使用的 DNS 服務帳號於 10 月 23 日遭到駭客入侵。駭客篡改了 Coinhive 的 DNS 記錄,將所有連上 coinhive.min.js 的流量指向另一台非該公司所有的伺服器。

Coinhive 在聲明中表示:「這台第三方伺服器上使用了一個修改過的 JavaScript 檔案,將網站金鑰寫死在檔案內。這基本上等於讓駭客可以竊取我們用戶開採出來的成果。」

該公司已經針對該事件出面道歉,而該事件據稱是因為密碼強度不足而引起,且此密碼是在 2014 年 Kickstarter群眾募資網站資料外洩事件當中早已外流。這當然並非第一次因為重複使用相同密碼所導致的問題。Coinhive 表示他們公司已實施了雙重認證 (2FA) 且並不重複使用相同密碼,只是該 DNS 的帳號存在已久,因而忘了更新密碼。

聲明中強調,沒有任何帳號資訊遭到外流,且該公司的網站和資料庫伺服器都沒有遭到入侵。該公司已提出用戶補償計畫,每位用戶將可獲得其網站每天 12 小時平均開採金額的補償。

帳號安全小祕訣

此事件再次突顯出網路帳號安全的重要性。使用複雜且非重複的密碼絕對有其必要,而且,企業應該妥善運用服務供應商所提供的所有安全措施。除此之外,我們也在此提供一些額外的小祕訣:

  • 當您手上有多個網路帳號時,請務必主動勤勞更新帳戶的安全措施。因為服務供應商很可能會隨時新增一些可保護您帳號的功能或措施。
  • 針對第三方服務,企業務必實施嚴格的管制政策,尤其是負責處理敏感資料或營運關鍵的系統。企業務必深入了解自己所採用的廠商,並且妥善控管資料的存取權限。

除此之外,採用一套有效而完整的資安解決方案,也能協助您確保網路服務的安全。趨勢科技 PC-cillin 2018 雲端版可協助您管理密碼,防止像這類最常見的網路威脅。

 

原文出處:Coinhive’s DNS Server Compromised Thanks to Weak Password

PC-cillin 2018雲端版 防範勒索 保護個資 ☑手機 ☑電腦 ☑平板,跨平台防護3到位
採礦程式商 Coinhive 遭駭 ! DNS 伺服器帳號因密碼強度不足遭入侵

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧

Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧

英國每日鏡報(Mirror)報導,個資外流的雅虎帳號中,最常用的密碼分別是以下十個:
❶ 123456
❷ password
❸ welcome
❹ ninja
❺ abc123
❻ 123456789
❼ 12345678
❽ sunshine
❾ princess
❿ qwerty

(2016/11/11 更新)

Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧

如果你還待在地球上,應該已經知道Yahoo發生了大規模資料外洩事件。這家網路先驅最近承認5億筆帳號相關資料是兩年前竊自它的網路,只是最近才發現。這可能給了壞人很長一段時間來侵害你的資料,如果你是Yahoo使用者的話。在前一篇文章專家提醒大家光是變更密碼並不足夠保護帳號安全!,請檢查使用Yahoo帳號的iPhone郵件應用程式是否仍可存取,這一篇文章我們來複習保持密碼安全小技巧。

這是一連串網路巨擘出現資料外洩事件的最新一起,其他還包括了LinkedIn、tumblr、MySpace等等。但它是目前以來的最大咖,可能也是外洩最嚴重的一次。讓我們藉此機會來檢視一些最佳實作跟安全提示,可以幫助你保護使用密碼帳號的安全。

當心假冒 Yahoo官方發送的確認帳號網路釣魚信

根據Yahoo所說,國家等級的駭客侵入了它的網路,可能已經取走姓名、電子郵件地址、電話號碼、出生日期、密碼雜湊值,還在某些情況下的加密或未加密的安全問題和答案。這影響了整個Yahoo、Yahoo理財、Yahoo運動和Flickr使用者。

當此種網路攻擊發生時,不只是會讓該公司陷入麻煩,還包括其服務的使用者們。Yahoo指出使用者的支付資料和銀行帳號資料不會儲存在系統中,所以是安全的。但使用者在攻擊過後仍然面臨許多風險。

本落格曾報導過刑事局警告:假 Gmail異常登入通知,真騙密碼!駭客善於利用竊來的帳號資料來進行所謂的網路釣魚(Phishing)攻擊,偽裝成Yahoo或其他公司來寄送電子郵件給目標。詳細的資料可以用來讓電子郵件看起來更真實。他們可能會要求受害者點入連結來確認帳號或是類似的手法。這樣做的目的是為了得到更多使用者的敏感資訊,通常跟財務有關。或甚至利用資料竊取惡意軟體來加以感染。

萬萬不可一組密碼走天下

更甚之,許多Yahoo使用者可能會在不同網站使用相同的密碼,甚至是相同的使用者名稱/密碼組合。如果這樣,那麼擁有你詳細資料的網路犯罪份子就可以侵入其他網路帳號,造成更多的傷害和經濟損失。

刑事局曾破獲歹徒將生日電話等個資破解數百名Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。總之別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全

犯罪者會利用這些隨處使用同一組帳號密碼的使用者心理,將到手的帳號密碼組合使用,嘗試登入各種服務。因此,若隨處使用相同的帳號密碼,其他各種服務也會遭到非法登入,受害的範圍將會擴大。

LINE台灣臉書官方帳號公布「7種最常被盜的登入密碼」,看看你中獎了嗎?

1.一組密碼走天下
2.生日
3.純數字
4.密碼太短
5.跟帳號一樣 Continue reading “Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧”

Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!

Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!

Yahoo坦承兩年前遭駭客入侵,至少5億用戶帳號被竊,許多Yahoo使用者聽從了官方建議變更了密碼。不過就如同零時差計畫(ZDI)的Simon Zuckerbraun所指出,光是換新的密碼是不夠的。為什麼?

password 密碼

 

如果你有一個Yahoo帳號,那就有機會收到帳號資料遭受攻擊者竊取的通知。你並不孤單。根據公開報導,超過5億筆的帳號受到2014年資料外洩事件的影響。雖然不知道為什麼會花Yahoo超過18個月的時間來通知人們,來自Yahoo資訊安全長Bod Lord的通知包含了變更密碼的建議。雖然這是對的建議,也是好的第一步,零時差專案(ZDI)研究員Simon Zuckerbraun發現單單這一步驟並不足夠來保護你的帳號。

變更密碼後, 使用Yahoo帳號的iPhone郵件應用程式仍可存取!

和許多人一樣,Simon收到帳號被列入外洩事件的通知。也和許多人一樣,Simon登錄自己的帳號並變更了密碼。然後,他開啟設定會使用Yahoo帳號的iPhone郵件應用程式,原本預計將會出現輸入新密碼的提示,但是有些驚訝的是,他發現並不需要。儘管他已經變更了Yahoo帳號的密碼,手機仍然可以存取。

根據調查,顯然地Yahoo簽發了永久憑證給設備。這個憑證不會過期,變更密碼也不會撤銷。換句話說,如果有人取得你的帳號並且設定在iOS郵件應用程式內,他們還是可以存取該帳號,即便是在變更密碼之後。更糟的是,你很可能不會發現有人仍然可以存取你的電子郵件。

 

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

Windows10Banner-540x90v5

 

 

Continue reading “Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!”

從五個資料外洩案例,認識事件發生原因、外洩資料類型與資料流向

大量資料外洩事件後遺症, 重複使用密碼攻擊上升

大量資料外洩事件後遺症, 重複使用密碼攻擊上升
刑事局曾破獲歹徒將生日電話等個資破解數百名Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。這不是個案,跨國軟體大廠CitrixGoToMyPC團隊在6月19日的安全訊息中通知重要客戶出現「複雜的密碼攻擊」,要求所有客戶立即重設密碼,這是因為前幾天被發現且適時回報的安全問題,那時使用者聲稱無法登錄帳號,他們建議使用者透過網站上的忘記密碼選項來重設密碼。

在此道歉啟事過後,該團隊在6月20日披露了更多相關分析結果。Citrix的產品線總監John Bennett在一份聲明中指出:「Citrix確認最近所發生的事件是密碼重複使用攻擊,攻擊者使用來自其他網站所洩漏的使用者名稱和密碼來存取GoToMyPC使用者的帳號,此外,並沒有發現其他Citrix產品線遭受攻擊」

該聲明強調並無客戶敏感資料(如信用卡資訊)被取出系統。除了強制重設密碼外,該公司還強烈建議啟用雙因子認證,好在此事件過後建立更緊密的防禦措施。  Continue reading “大量資料外洩事件後遺症, 重複使用密碼攻擊上升”