我想你們一定看過這幾個月的新聞,發生了好幾起高調的推特(Twitter)駭客事件,包括了知名品牌,如Jeep,漢堡王(Burger King),以及最近的美聯社(AP)。一般不是很懂電腦的人可能會出現下列的疑問:
- 這些帳號為什麼及如何被駭客攻擊的?這些企業不是應該都會設定又長又複雜的密碼來保護自己的帳號嗎?
- 如果他們不能持續維護自己的安全,我將會遇到什麼?
- 什麼是雙因子認證?我一直聽說這會讓我更安全。
推特帳號一直會被駭的原因
推特帳號一直都有被駭事件的原因很多。可能只是簡單地因為有人為了好玩去散播謠言,也可能是惡毒的想要抹黑特定個人或公司。這可不僅僅是傷害到這公司或個人,在某些案例裡,像是美聯社的帳號被入侵,就實際地讓美國股市出現短暫的下跌。而正如你可以想像的,這樣一個短期波動可是在股市獲得巨大利益的機會。
推特被駭也凸顯出關於密碼安全一個更大的問題。你可以使用有史以來最長、最複雜的密碼,但如果你點入一個惡意連結或偽裝成推特的網站讓你輸入密碼,基本上這就已經跳過任何密碼的安全性,直接把密碼交到壞人手上。
常見的社交工程伎倆
這是今天在推特上一個令人難以想像常見的社交工程陷阱( Social Engineering)伎倆。透過從你關注的一個被駭帳號發送「私人訊息」給你,網路犯罪份子就可以駭入你的帳號。這訊息可以裝得非常簡單:「嘿!我看到你這個有趣的畫面!」然後,它會連到一個惡意網站。這種戰術在過去已經被廣泛成功地運用在電子郵件病毒上,今日轉移陣地到社群媒體上也是一樣的成功。
另一種常見用來竊取你密碼的方式,就是去入侵並不具備推特安全控管等級的網站或服務。如果你在多個服務上都使用相同的密碼,就可以利用自動化工具,很快地在多個網站和社群媒體服務上嘗試這偷來的帳號/密碼組合。
那麼我們該如何在這種威脅下保護自己?
你有許多方法可以用來保護自己的社群媒體帳號不被侵入。簡單的第一步就是在每個服務都使用不同的密碼。你可能會想,「讚,但是我沒辦法記住所有的密碼。所以這並不實際!」我完全同意你的看法。有一個美好的技術稱為密碼管理器可以解決這個問題。這裡讓我存點私心的推薦趨勢科技有提供一個很好的消費者產品,PC-cillin 2013雲端版的密碼管理 e 指通用來管理你的密碼,這樣你就不必費神了。
雙因子身份認證
大型的社群媒體現在所提出的另一個解決方案是雙因子認證。雖然科技宅可能都很熟悉這一技術,一般的電腦使用者可能只是聽說過它,但卻不知道它是如何運作或設定的。我要試著來解開這謎團…
雙因子身份認證(也稱為多因子認證),就是當你登錄服務時,需要提供兩個或多個已知東西的方法。今天最常見的實現方式,就是不只是提供密碼,或許還要回答一兩個應該只有你自己知道答案的問題,像是一年級老師的名字。
雖然理論上聽起來很不錯,但是任何半調子的社交工程師都可找到你的這些資訊和回避它。另一個實現雙因子認證的方式,同時也是我覺得最簡單的方式,就是利用一個你會隨身攜帶的東西來提供你一組唯一的號碼。而大多數人隨身都會攜帶的東西,最好的例子就是可信賴的手機!
它是如此運作的…
當你登錄帳號,你會輸入使用者名稱和密碼,但第二個密碼會經由簡訊傳送給你。這組號碼是每當你從新的瀏覽器、設備或電腦登入時,都會產生的一組獨一無二的號碼,你也必須將這組密碼輸入,不然將無法登錄成功。這方法最棒的地方在於,就算你的密碼被偷了,壞人還是無法登錄,除非他們拿到你的手機!
這是一種Google和臉書都已經推出的安全技術,我也強烈建議你要使用。因為許多起高調的推特駭客事件,他們也宣布很快就會推出雙因子認證。
最後的忠告
在網路上要隨時保持懷疑的態度。如果任何事情好得太不真實,那它可能就有問題。如果你從某個不熟或是意料之外的人收到私人訊息,也該產生懷疑,也許可以打電話給他,看看他們是否真的送你一個奇怪的連結會連到你的照片。
@原文出處:What the Hack is Going on with Twitter!? 作者:Jamie Haggett
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚