OurMine 是一個特立獨行的「資安團體」,宣稱專門提供個人和企業服務,但其實他們較為人所知的是專門駭入技術人員的社群網路帳號,尤其擅長駭入 Twitter 帳號。過去曾經受害的對象包括 Facebook 執行長 Mark Zuckerberg、Google 執行長 Sundar Pichai、Spotify 創辦人 Daniel Ek、Amazon 技術長 Werner Vogels,以及最新的 Niantic 執行長 John Hanke。
Niantic 是全球熱門手機遊戲《精靈寶可夢GO》(Pokémon Go) 的開發公司,儘管該遊戲目前在某些地區仍未開放,但玩家數量卻仍維持一定成長,而且已經出現了各種相關的網路犯罪。
OurMine 專挑知名跨國科技公司,FB 、Google 與 Niantic 執行長 Nianti 、Amazon 技術長都受駭
OurMine 的攻擊相當值得我們關注,因為他們的攻擊對象都是一些全球最大的跨國科技公司。理論上企業應該都有自己的一套資安措施才對,尤其是軟體和科技公司,但人總是會犯錯,而且這當然也不是第一次科技公司高階主管遭殃的案例。就以 Mark Zuckerberg 為例,他顯然使用了強度不足的密碼,而且好幾個帳號共用同一密碼。其 Twitter 和 Pinterest 帳號的密碼都是「dadada」,這對他來說當然好記。但問題是,也很容易被破解。OurMine 指出,John Hanke 的密碼也一樣很弱,而且很沒創意,那就是「nopass」(沒有密碼)。
【延伸閱讀】: 別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全
建置多層式防護
除了一些實用的安全祕訣之外 (例如採用複雜且非重複的密碼),使用者也應該多設置一道安全關卡。Twitter 和許多其他平台都已經提供 雙重認證 (2FA) 來為使用者提供一道額外的保障。所謂的雙重認證就是您需要同時透過兩種方式來登入您的帳號。
可用來認證的資訊基本上分成幾種:
- 您已知的事物 (例如密碼)
- 您擁有的東西 (例如可提供認證代碼的智慧型手機)
- 您身上的東西 (例如指紋)
結合這些不同的認證資訊,就能提供比單一認證更安全的保障。
不過,目前只有少數一些裝置內建了指紋辨識功能,因此,比較常見的雙重認證都是結合密碼和簡訊傳送的驗證碼或利用手機應用程式產生的驗證碼。以 Twitter 為例,使用者必須到「設定和隱私」中修改設定,來發送登入代碼到指定的電話號碼。當設定好雙重認證之後,使用者每次登入 Twitter 時,都會需要輸入密碼以及傳送至手機的代碼。
大多數的熱門網站和網路服務,現在都已經提供了雙重認證選項,在此建議使用者開啟這項功能。別人取得您的 Apple 密碼可以做些什麼?若有人在 Facebook 上假冒您的身分,對您會有多大的影響?如果您的 LinkedIn 帳號遭駭,您的工作是否會連帶受到影響?這些問題沒有人能保證不會發生。
前述這些網站以及許多其他網站目前都已建置了雙重認證機制,而且非常容易設定。
如何在熱門網站上啟用雙重認證功能
- 登入您的 Twitter 帳號,然後到「設定」。
- 在左側選單上,按一下「設定和隱私」。
- 在「登入認證」的地方,勾選「認證登入請求」。接下來網站會請你新增一個電話號碼。
- 請依照步驟進行,然後您的手機會收到一組六位數代碼,以後您每次登入 Twitter 都會收到一組像這樣的代碼。
手機使用者:
- 點一下 Twitter 應用程式上的個人頭像。
- 點一下「設定和隱私」來開啟設定。
- 點一下「帳號」。
- 然後點一下「安全性」來啟用「登入認證」選項。
- 登入 Facebook 然後前往「帳號設定」。
- 按一下「帳號安全和登入」,往下捲到「設定額外的安全措施」,並找到「使用雙重認證」。
- 按一下「編輯」
- 看一下它的運作說明,然後選擇「啟用」。
- 系統會請您設定「已知的瀏覽器」,也就是您信賴而不需輸入認證碼的瀏覽器。
- 輸入您的電話號碼。
- 您的手機會收到一組確認碼。在畫面上輸入這組確認碼,就完成設定程序。
如果您不想透過手機簡訊來收到認證碼,您可以回到 「設定額外的安全措施」,然後選擇「 代碼產生器」。遵照指示安裝可產生認證代碼的應用程式。
Google 的兩步驟驗證有兩種選擇:透過手機簡訊接收代碼,或者使用安全金鑰。
手機簡訊代碼:
- 請至 Google 的兩步驟驗證網頁,登入您的帳號。
- 點一下螢幕右上角的「開始使用」,然後照著指示進行。
- 選擇您要接收代碼的方式:簡訊或電話。
此外,您也可以安裝「Google Authenticator」(驗證器) 程式來取得驗證碼,就算沒有手機訊號也能使用。
安全金鑰:
除了代碼之外,使用者也可以將一個安全金鑰裝置插入電腦的 USB 連接埠來進行驗證。您的電腦必須使用 Google Chrome 40 或更新版本,您可使用任何符合「FIDO 通用第二要素」(U2F) 規格的金鑰裝置。
- 請至 Google 的新增安全金鑰網頁。
- 將您的安全金鑰裝置插入 USB 連接埠,然後按「註冊」。
- 視您的安全金鑰類型而定,請依步驟完成您的註冊。
- 在您的個人首頁上,按一下右上角的「我」,然後選擇「隱私和設定」。
- 按一下「隱私權」標籤,然後往下捲到「安全」來開啟兩步驟驗證,您需要提供手機號碼。
Amazon
- 登入您的 Amazon 帳號,然後前往「Your Account」(您的帳戶)。
- 按一下「Change Account Settings」(變更帳號設定)。
- 往下捲到「Advanced Security Settings> Edit」(進階安全設定 > 編輯),就會進入兩階段驗證的開始頁面。
- 按一下「Get Started 」(開始使用) 按鈕。您必須選擇接收代碼的方式:簡訊或驗證器程式 (該程式可用來直接產生代碼,手機沒訊號時也能使用)。
- 輸入您手機接收到的代碼 (透過簡訊或應用程式) 來完成設定。
- 按一下「Verify code and continue」(確認代碼並繼續)。
- 設定完成之後,Amazon 會要求您提供備用電話號碼 (以防萬一您的主要電話無法使用),或者下載驗證器應用程式到您的手機上,這樣就算手機沒訊號也能使用。
- 開啟您的應用程式,然後到您個人檔案,選擇螢幕右上角的「…」(帳號設定選項)。
- 在「帳號」下方,點一下「雙重驗證」。
- 啟用「索取安全驗證碼」。
- 當您從新的裝置存取你的帳號時,您就會收到安全驗證碼,您必須輸入這個碼才能登入。
Apple ID
只有使用 iOS9 和 OS X El Capitan 或更新版本的 Apple 使用者才能使用雙重認證。
- 到蘋果選單當中選擇「系統偏好設定」。
- 按一下「iCloud」。
- 找到「帳號詳細資訊」,然後按一下「安全性」就會看到開啟雙重認證的選項。
Apple 行動裝置:
- 前往「設定> iCloud」。
- 點一下您的 Apple ID。
- 點一下「密碼和安全性」來開啟雙重認證。
原文出處:How to Set Up 2FA: Layered Security for Online Accounts
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅
密碼管理工具推薦:能安全簡單的統一管理網站帳號密碼,還可透過安全瀏覽器登入及使用網路銀行,防範帳號被盜、駭客竊取個人資料,同步支援PC、手機、平板
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。