Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧

英國每日鏡報(Mirror)報導,個資外流的雅虎帳號中,最常用的密碼分別是以下十個:
❶ 123456
❷ password
❸ welcome
❹ ninja
❺ abc123
❻ 123456789
❼ 12345678
❽ sunshine
❾ princess
❿ qwerty

(2016/11/11 更新)

如果你還待在地球上,應該已經知道Yahoo發生了大規模資料外洩事件。這家網路先驅最近承認5億筆帳號相關資料是兩年前竊自它的網路,只是最近才發現。這可能給了壞人很長一段時間來侵害你的資料,如果你是Yahoo使用者的話。在前一篇文章專家提醒大家光是變更密碼並不足夠保護帳號安全!,請檢查使用Yahoo帳號的iPhone郵件應用程式是否仍可存取,這一篇文章我們來複習保持密碼安全小技巧。

這是一連串網路巨擘出現資料外洩事件的最新一起,其他還包括了LinkedIn、tumblr、MySpace等等。但它是目前以來的最大咖,可能也是外洩最嚴重的一次。讓我們藉此機會來檢視一些最佳實作跟安全提示,可以幫助你保護使用密碼帳號的安全。

當心假冒 Yahoo官方發送的確認帳號網路釣魚信

根據Yahoo所說,國家等級的駭客侵入了它的網路,可能已經取走姓名、電子郵件地址、電話號碼、出生日期、密碼雜湊值,還在某些情況下的加密或未加密的安全問題和答案。這影響了整個Yahoo、Yahoo理財、Yahoo運動和Flickr使用者。

當此種網路攻擊發生時,不只是會讓該公司陷入麻煩,還包括其服務的使用者們。Yahoo指出使用者的支付資料和銀行帳號資料不會儲存在系統中,所以是安全的。但使用者在攻擊過後仍然面臨許多風險。

本落格曾報導過刑事局警告:假 Gmail異常登入通知,真騙密碼!駭客善於利用竊來的帳號資料來進行所謂的網路釣魚(Phishing)攻擊,偽裝成Yahoo或其他公司來寄送電子郵件給目標。詳細的資料可以用來讓電子郵件看起來更真實。他們可能會要求受害者點入連結來確認帳號或是類似的手法。這樣做的目的是為了得到更多使用者的敏感資訊,通常跟財務有關。或甚至利用資料竊取惡意軟體來加以感染。

萬萬不可一組密碼走天下

更甚之,許多Yahoo使用者可能會在不同網站使用相同的密碼,甚至是相同的使用者名稱/密碼組合。如果這樣,那麼擁有你詳細資料的網路犯罪份子就可以侵入其他網路帳號,造成更多的傷害和經濟損失。

刑事局曾破獲歹徒將生日電話等個資破解數百名Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。總之別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全

犯罪者會利用這些隨處使用同一組帳號密碼的使用者心理,將到手的帳號密碼組合使用,嘗試登入各種服務。因此,若隨處使用相同的帳號密碼,其他各種服務也會遭到非法登入,受害的範圍將會擴大。

LINE台灣臉書官方帳號公布「7種最常被盜的登入密碼」,看看你中獎了嗎?

1.一組密碼走天下
2.生日
3.純數字
4.密碼太短
5.跟帳號一樣 Continue reading “Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧"

Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!

Yahoo坦承兩年前遭駭客入侵,至少5億用戶帳號被竊,許多Yahoo使用者聽從了官方建議變更了密碼。不過就如同零時差計畫(ZDI)的Simon Zuckerbraun所指出,光是換新的密碼是不夠的。為什麼?

password 密碼

 

如果你有一個Yahoo帳號,那就有機會收到帳號資料遭受攻擊者竊取的通知。你並不孤單。根據公開報導,超過5億筆的帳號受到2014年資料外洩事件的影響。雖然不知道為什麼會花Yahoo超過18個月的時間來通知人們,來自Yahoo資訊安全長Bod Lord的通知包含了變更密碼的建議。雖然這是對的建議,也是好的第一步,零時差專案(ZDI)研究員Simon Zuckerbraun發現單單這一步驟並不足夠來保護你的帳號。

變更密碼後, 使用Yahoo帳號的iPhone郵件應用程式仍可存取!

和許多人一樣,Simon收到帳號被列入外洩事件的通知。也和許多人一樣,Simon登錄自己的帳號並變更了密碼。然後,他開啟設定會使用Yahoo帳號的iPhone郵件應用程式,原本預計將會出現輸入新密碼的提示,但是有些驚訝的是,他發現並不需要。儘管他已經變更了Yahoo帳號的密碼,手機仍然可以存取。

根據調查,顯然地Yahoo簽發了永久憑證給設備。這個憑證不會過期,變更密碼也不會撤銷。換句話說,如果有人取得你的帳號並且設定在iOS郵件應用程式內,他們還是可以存取該帳號,即便是在變更密碼之後。更糟的是,你很可能不會發現有人仍然可以存取你的電子郵件。

 

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

Windows10Banner-540x90v5

 

 

Continue reading “Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!"

大量資料外洩事件後遺症, 重複使用密碼攻擊上升


刑事局曾破獲歹徒將生日電話等個資破解數百名Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。這不是個案,跨國軟體大廠CitrixGoToMyPC團隊在6月19日的安全訊息中通知重要客戶出現「複雜的密碼攻擊」,要求所有客戶立即重設密碼,這是因為前幾天被發現且適時回報的安全問題,那時使用者聲稱無法登錄帳號,他們建議使用者透過網站上的忘記密碼選項來重設密碼。

在此道歉啟事過後,該團隊在6月20日披露了更多相關分析結果。Citrix的產品線總監John Bennett在一份聲明中指出:「Citrix確認最近所發生的事件是密碼重複使用攻擊,攻擊者使用來自其他網站所洩漏的使用者名稱和密碼來存取GoToMyPC使用者的帳號,此外,並沒有發現其他Citrix產品線遭受攻擊」

該聲明強調並無客戶敏感資料(如信用卡資訊)被取出系統。除了強制重設密碼外,該公司還強烈建議啟用雙因子認證,好在此事件過後建立更緊密的防禦措施。  Continue reading “大量資料外洩事件後遺症, 重複使用密碼攻擊上升"

別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全

使用同一帳號密碼登入所有網站的風險

有鑒於近日LinkedIn、MySpace等多起大規模用戶個資外洩事件,Facebook與 Netflix 不約而同呼籲在多個網站共用帳號及密碼的用戶重設密碼。

由於LinkedIn 逾一億資料外洩事件,導致被盜的帳號和密碼在黑市上交易,諷刺的是販售列表中有個知名人物竟是 Facebook 創辦人 Mark Zuckerberg 的帳號。難以置信的是,他的密碼竟是「dadada」,更令安全專家瞠目結舌的是駭客更進一步透露 Mark Zuckerberg 在不少帳戶中都使用這組密碼,這表示一旦駭客得知了他的一組帳號密碼,那麼只需要複製貼上就可以輕鬆破解其他帳號了。

 


無獨有偶的是近日「北韓版Facebook」被破解,少年駭客表示:" 其實無意要破解,只是簡單在用戶名稱輸入「admin」,而密碼輸入「password」就登入系統,他也沒想到管理者權限的帳密如此簡單"

 

現在我們再來複習一次五個密碼設定小秘訣個保護密碼實用的祕訣

《小廣和小明的資安大小事 》萬用密碼,簡單密碼,都不 OK!

4koma-35-1

4koma-35-2

4koma-35-3

資安漫畫 萬用帳密密碼4koma-35-4

日本資安漫畫 banner

刑事局曾破獲歹徒將生日、電話等個資,破解數百名 Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站

您是否也是只用一組帳號/密碼行遍網路各項服務的用戶呢?如果您習慣使用同一組帳號/密碼,那當您的帳號/密碼被盜的時候,駭客可藉機入侵多數的網路服務(應用程式)帳號。刑事局曾破獲歹徒將生日、電話等個資,破解數百名 Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。為了防止帳號不再被盜,每次註冊新程式時,最好設定不同的帳號╱密碼! Continue reading “別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全"

Google 的「Project Abacus」計畫,將取代傳統 Android 以密碼登入的方式

Google 打算嘗試讓 Android 應用程式改用一種可取代傳統密碼的登入方式。根據報導,Google 的「Project Abacus」(算盤計畫)已在最後實驗階段,並且正在研發一套稱為「Trust Score」(信任分數) 的安全認證系統,該系統基本上將取代密碼或 PIN 碼的登入方式,改以生物測定資料和其他資訊為基礎。

在最近一次的 Google I/O 開發者大會上,Google 先進科技與計畫總裁 Daniel Kaufman 表示:「我們手上就握有一支內建各種感應器的手機,為何不能讓它直接認得我,這樣我就不需要密碼?我應該要直接就能做事才對。」他補充說:Abacus 的目標並非要一次就將密碼換掉,而是結合多種較不確定的指標來形成一種可檢驗的使用者的身分認證方法。Google 表示目前已在美國 28 個州、33 所大學進行實驗。

[延伸閱讀:Google Android 安全性報告]

新的 API 將提供給一些「非常大型的金融機構」進行測試,並且將根據六月期間所累積的信任分數 (Trust Score),這些分數將根據使用者的打字速度和方式、講話聲音、位置、臉部辨識,以及是否接近熟悉的藍牙裝置與 WiFi 熱點而定。一般來說,危險性低的應用程式和基本的工具,應該不需要很高的信任分數就可執行,但一些敏感的應用程式,如:網路銀行和電子郵件網站,就需要較高的信任分數來登入。這套 Trust API 會在使用者的手機背景持續執行,以測量使用者的獨特習慣。Kaufman 表示:「我們希望能淘汰掉難用的雙重認證」,意指需要輸入密碼和 PIN 碼才能使用應用程式的麻煩。

[延伸閱讀:Android 歷年來的安全性功能]

Google 在 2014 年推出 Android Lollipop 作業系統時,就已在 Android 5.0 和後續版本內建了一個叫做「Smart Lock」的類似機制,讓使用者只要其智慧型手機在配對裝置的訊號範圍內就能自動解鎖裝置,一旦失去連線,裝置就自動上鎖,不過,Project Abacus 的作法是在背景持續執行以蒐集有關使用者的資料以累積信任分數。

原文出處: Google’s Project Abacus to Kill off traditional Android Password Logins)

 

密碼安全提示問題竟讓小廣吃味了!

資安漫畫 密碼安全提示 21

《小廣和小明的資安大小事 》脾氣超好的小廣怎麼看起來不開心呢?

21-all日本資安漫畫 banner

 

你曾在社群網站上給過關於「安全提示問題及答案」的提示嗎?

在網路上進行帳號註冊認證時,對本人的認證方式不僅僅是透過ID/密碼而已,也會請用戶針對當初所登錄的「安全提示問題及答案」來回答。這是透過輸入本人之前所選定的問題進行回答後,在重設密碼或忘記密碼時透過電子信箱來告知用戶密碼的一種方式。根據服務業者的不同,有時也會被強制要求輸入問題及答案。用戶往往為了省去繁雜的密碼再設定手續,不得不利用的用戶也應該不在少數。

但, 問題的選擇性如果為「出生地是…?」「寵物的名字」等等,因為幾乎都已涉及到本人自身的問題…,只要稍微對本人周遭的事物有些許了解,就不難推敲出答案來了。進行密碼重設時應多想想問題及答案的各種組合,並且要多留意未經授權就想入侵的不肖第三者。

重點是,註冊一個第三者不容易猜到的答案。最安全的方式就是確認用戶本人是否有無將答案的提示紀錄在臉書的個人資料或推特、微博上面吧。另外,選擇利用行動電話的簡訊來接收密碼,如果是利用其他方式的話,盡可能選擇「只有本人能夠連結」的安全的認證方式吧!

 

重設密碼要小心你的「安全提示問題」

曾為美國副總統參選人的Sarah Palin莎拉裴林的案例, 2008 年駭客使用教科書中最老舊的手法之一 – 利用密碼重設功能 – 入侵了美國副總統候選人莎拉裴琳(Sarah Palin)的 Yahoo! 個人帳號(請參考:Sarah Palin’s E-Mail Hacked),還把他入侵成功的證據公諸於世。據新聞報導指出,駭客在 Yahoo! 的身分確認問題清單中正確地選擇了「你在何處遇見未來的另一半?」這個問題,然後試過一些 “Wasilla High School" 的不同表示方式之後,最後成功猜出 “Wasilla high" 這個答案。

隱私 公開秘密 密碼 帳號

Continue reading “密碼安全提示問題竟讓小廣吃味了!"

《小廣和小明的資安大小事 》令主管無力的辦公室小鮮肉

13

日本資安漫畫 banner

 

只有密碼能放心嗎?

登入社群網站及網路購物等網站時,大多數必須輸入帳號/密碼。帳號/密碼機制可用來證明存取該網站的是本人,防止其他人擅自登入。如果將各個網站比喻為住家,帳號/密碼就像是住家的鑰匙。

但是,即使採用帳號/密碼進行認證,若被惡意的第三者發現帳號/密碼,或是遭到盜取時,就可能會被盜用身份而非法登入。就像是家裡的鑰匙被偷走而遭到入侵一樣。

近年來,採用兩步驟驗證的網際網路服務持續增加。 Continue reading “《小廣和小明的資安大小事 》令主管無力的辦公室小鮮肉"

< 網路安全 > 防毒小秘訣:如何保護你的電腦免於惡意軟體?(內有影片)

Rik Ferguson是趨勢科技的安全研究副總。他製作了一系列的網路安全諮詢影片來幫助消費者。在這影片中,他提供了如何保護你的電腦免於電腦病毒/惡意軟體的建議。

影片重點包括:

  • 保護你的電腦和行動裝置需要個人保持小心警慎以及來自專業資安公司(就像趨勢科技)的協助。今日的惡意軟體並不只針對你的家用電腦,還包括你和你家人所用的行動裝置,問題可能比你想像的還要大。
  • 你可能會經由網頁瀏覽器、電子郵件、社群網路、即時通和下載檔案成為惡意軟體攻擊的受害者。你的設備可能因為幾乎任何一種線上活動甚或是朋友的隨身碟而受到感染。所以重要的是使用能夠提供完整主動防護的安全軟體,讓你不會受到感染病毒。
  • 趨勢科技提供給PC或Mac的安全/防毒軟體,以及提供給 Android或iOS行動設備的安全免費行動防護App( Android / iOS ),這些或許就是你所需要的解決方案。

 

即使你有使用安全軟體,底下是一些可以確保你的設備不被感染和不會散播惡意軟體的方法:

  • 保護你的網路。防護惡意軟體從你的家用網路開始並向外延伸。請確保你的網路路由器有加上密碼保護,不要使用出廠預設密碼。
  • 確保你有安裝防火牆並且在每台電腦上運行,讓你可以用來防止未經授權的存取。一個安全的網路是保護你電腦的第一步,也可以保護連到你家用網路的行動裝置。
  • 避免垃圾訊息。在網路上不要打開任何形式的垃圾訊息。記住,垃圾訊息並不只是出現在你垃圾郵件資料夾內的電子郵件,也可能是私人訊息、網站上的跳出視窗或是你社群媒體塗鴉牆上的廣告。
  • 小心不請自來的技術支援,不管是線上還是網路以外。
    【延伸閱讀】雅虎信箱被盜,搜尋解決方案,竟”找”到麻煩:假技術支援中心,藏身搜尋結果,伺機詐財
  • 與你的孩子有開放性的談話並建立他們的信任。此外,你應該在你家庭網路環境內的每台設備設定家長監護功能。
  • 確保只有管理員可以安裝新軟體到電腦上並且限制訪客的網路存取(如果可以的話)。
  • 確保程式更新到最新。確保你更新你的設備以幫助保護它們免於漏洞攻擊。這包括作業系統、安全軟體、網頁瀏覽器和外掛程式(像JAVA、Adobe Flash和Acrobat,或影片播放程式像是Windows多媒體播放程式和Quick Time。
  • 不要在你的網頁瀏覽器儲存密碼。使用密碼管理程式比較安全,而且可以多加一層保護。

Continue reading “< 網路安全 > 防毒小秘訣:如何保護你的電腦免於惡意軟體?(內有影片)"

《小廣和小明的資安大小事 》阿母設定的密碼居然跟某位總統一模一樣 !!

從密碼設定看母女連心?!…

日本資安漫畫 10 密碼設定
日本資安漫畫 banner

 

阿母的 FB 密碼和網路銀行密碼一模一樣,而且還用連續數字和字母當密碼,身為女兒的小明不能用年紀大了,記不住密碼當藉口,竟也犯同樣的錯誤…難道是遺傳基因作梗嗎?其實也不用懷疑是遺傳基因,因為即使是名人也犯過同樣的錯誤 !

【延伸閱讀】1位副總統候選人,2位總統 , 3位大明星,猜猜哪位用 12345 當密碼?(含12個保護密碼實用的祕訣)

為什麼不能到處使用相同的密碼?

各位是否在社群網站、網路銀行、雲端儲存空間等網路上的多種服務中設定相同的帳號密碼?或許有些人因為「要記住多個帳號密碼太麻煩」、「複雜的密碼記不住」等理由,隨處使用容易被猜到的帳號密碼吧。 Continue reading “《小廣和小明的資安大小事 》阿母設定的密碼居然跟某位總統一模一樣 !!"