Skip to main content

資安趨勢部落格

  • 免費下載
  • 防毒軟體推薦
  • CISO 資安長搶先看
  • 企業資安
  • 勒索病毒/勒索軟體
  • 資安漫畫
  • 資安小百科
  • 趨勢科技官網

還在用「Facebook 登入」各種網站和應用程式?

2019 年 01 月 18 日2019 年 01 月 26 日 Trend Labs 趨勢科技全球技術支援與研發中心 FACEBOOK 臉書(fb), 密碼管理, 帳號被盜, 社群(交)網路

社群媒體逐漸地成為我們數位生活的重心。人們不僅會在Facebook這些平台上進行分享、互動和發文 – 還會透過這些網站來快速登入自己愛用的應用程式和網站。但是當這些社群媒體守門人遭受駭客攻擊會發生什麼事?

是時候了,該從「Facebook 登入」切換到密碼管理程式?

資安趨勢部落格曾發表過這篇文章:臉書當萬用帳號,到處網購超方便?!網拍購物安全小秘訣 文中提及很多網拍帳號直接連動臉書, 一個萬用帳號通行無阻,但也有一旦遭入侵時所有資料全都露的危險 。當時我們的建議如下:
✓ 建議使用不同帳號及不同密碼登錄
✓【PC-cillin雲端版】防止個人資訊外洩→免費下載
不知道有多少該文章的讀者們,確實執行了?

在不久前,Facebook(臉書)遭受嚴重的攻擊,被駭客取得數位金鑰來存取至少3,000萬筆帳號(最初被認為是5,000萬筆),使得高度敏感的個人資料被暴露出來。

這次攻擊不僅讓駭客能夠存取Facebook帳號,還讓這些壞人可以存取任何連結的應用程式或網站。這告訴了我們:是時候利用密碼管理程式來儲存這些第三方帳號的登入憑證,而不是用經常遭受攻擊的社群媒體。

簡單、直覺的登入帳號方式,背後的潛在威脅

作為Facebook的使用者,你可能充分認識到用Facebook憑證登入第三方網站和應用程式帳號所帶來的易用性優勢。被稱為Facebook Connect,也就是所謂的「單一登入(SSO)」功能:一種快速、簡單、直覺的登入帳號方式,讓你不必為每個網站和應用程式記住不同的密碼。

很方便,是吧?但也有它的問題。在2018年9月底,Facebook發覺一起重大資安事件:駭客想辦法竊取了重要的存取令牌(token),這些令牌(token)是種數位金鑰,讓你不用每次登入Facebook都要重新輸入密碼。這些金鑰還可以用來存取你透過Facebook登入的第三方應用程式和網站:從Airbnb和亞馬遜到Tinder以及你最愛的新聞應用程式。因為駭客有可能非法存取這些帳號,可能會從這些帳號收集更多敏感資料來進行身份竊盜 – 從而也可以使用你的信用卡。

駭客如何取得這些重要的存取令牌?他們利用了Facebook的「檢視角度(View As)」和影片發布功能內的幾個漏洞。(檢視角度是可以讓使用者查看個人檔案向其他用戶顯示模樣的功能)。他們最終竊取了3,000萬筆的使用者存取令牌:1,500萬筆只有姓名和聯絡方式;1,400萬筆包含了幾乎所有的個人資料,包括姓名、聯絡方式、使用者名稱、性別、語言、關係狀態、宗教信仰等;另外100萬筆沒有任何資訊。

Facebook很快就聲稱目前沒有任何跡象顯示攻擊者利用Facebook SSO存取了第三方應用程式。但情況可能會改變。而且也沒辦法改變這類事件(或更糟)可能在未來再次出現的事實。Facebook這樣的社群媒體和網路商會是駭客攻擊的主要目標,而人為錯誤也不可避免地會在未來帶來一些安全隱患。Google最近的一次程式碼出錯導致Google+社群平台的50萬筆使用者資料被外露,讓他們決定在10個月後(從2018年10月算起)關閉個人版的Google+。


被駭之後該留心的四件事

Facebook已經修復了漏洞並重設了受影響的存取令牌(token),這有助於阻止之後的攻擊。但如果你的帳戶已經被非法存取過,則應該採取下列幾個步驟:

  1. 連到此連結來確認自己是否受到影響。
  2. 小心詐騙:詐騙份子會利用外洩的資料來打電話、寄電子郵件或傳送訊息給你。
  3. 慎防網路釣魚郵件:詐騙份子可能會利用這起事件來偽裝成Facebook官方寄送電子郵件讓你給出敏感資料。這裡提供如何確認的方法。
  4. 你可能需要打電話給銀行:如果你屬於那第二類的1,400萬名使用者,駭客可能拿到足夠的個人資料來回答安全問題以存取你的帳戶。考慮增加多幾層的安全防護。

未雨綢繆,確保帳號安全四個建議

完成以上動作後,請考慮下列選項來確保你的帳號安全:

  1. 停用Facebook SSO。進到你的Facebook設定頁面並移除使用中的應用程式和網站底下所有的應用程式。接著到偏好設定內的應用程式、網站和遊戲,點擊編輯並選擇關閉。
  2. 啟用雙因子身份驗證:這可以替你的Facebook登入多加一層防護。進入Facebook的設定>帳號安全和登入>雙重驗證>使用雙重驗證。
  3. 考慮使用Facebook的應用程式密碼產生器:如果你希望讓應用程式和網站保持連線,此功能可讓你為連結的應用程式和網站產生獨特的密碼,而非使用Facebook SSO密碼。不過密碼管理程式無法儲存這些密碼,如果你登出應用程式就必須產生新的密碼。
  4. 更好的作法是用密碼管理程式來替每個Facebook連結的應用程式和網站安全地產生和儲存強大而獨特的密碼。

如果停用Facebook SSO可能會失去一些共享功能。例如,你可能會發現無法將新聞應用程式內的文章直接發布/分享到Facebook,而必須手動剪貼連結。不過這取決於你所使用的應用程式。而且到最後,你必須決定什麼對你更為重要:應用程式/網站與Facebook間更緊密的整合,或將你的密碼儲存在遠離社群媒體的獨立安全位置。

趨勢科技密碼管理通 ,輕鬆管理複雜帳號密碼,安心線上交易

趨勢科技密碼管理通能夠跨越PC/Mac以及Android和iOS行動設備來幫你保護應用程式和網站帳號密碼的隱私和安全。將它當作Facebook SSO高度方便使用卻更加安全的的替代方案。趨勢科技密碼管理通:




太多網購帳號記不住,用臉書當萬用帳號,有購方便?!
  • 為你的每一個網路帳號產生高度安全、獨特且難以破解的密碼。
  • 安全地儲存和輸入這些帳密來進行登入,因此你不必去一一記住它們。
  • 如果發生了密碼外洩或被竊事件,提供簡單快速的密碼變更方法。
  • 讓你能夠在任何地方、任何設備和瀏覽器快速輕鬆地管理密碼。
  • 同時適用於應用程式和網站,特別有利於在行動設備上與Facebook結合使用的應用程式。

想了解更多資訊或購買產品,請連到我們的趨勢科技密碼管理通網站。趨勢科技的PC-cillin雲端版內含趨勢科技密碼管理通,可免費下載體驗。

@原文出處:Why it’s Time to Switch from Facebook Login to a Password Manager

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,安全管理密碼 》即刻免費下載試用

【3C Fun 新聞首播】密碼外洩大代誌
2018年度十大爛密碼出爐,不出所料「123456」「password」,繼續蟬聯冠亞軍 ,提醒你英文名字也是各大個資外洩事件中,弱密碼常客。

擔心自己上榜嗎? 馬上來看資安主播王酒米與工程師犬旺財為大家解說除了「Maggie」和 「George」外,還有哪些英文名字入榜:)



【3C Fun 新聞】 3C 小撇步-密碼篇:「你母親的名字」旺財的答案為何是 「卡好」?

「你在何處遇見另一半?」「你寵物的名字」…旺財為何總能猜得到王酒米密碼提示問題的答案? 🙄
❎ 網拍購物直接連動臉書當萬用帳號,有何風險? ❎ 密碼太多記不住怎麼辦? ↘ 馬上來看小撇步

✅ 密碼管理通,免費下載體驗 ➔ https://t.rend.tw/?i=NzAxOA
✅PC-cillin雲端版,免費下載體驗 ➔ https://t.rend.tw/?i=NzAxNw
✅《延伸閱讀》影/ 密碼外洩大代誌➔ https://t.rend.tw/?i=NzA0OQ

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。 *手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼ 好友人數

 

相關文章:

專挑名人IG ( Instagram )帳號的駭客集團現身
《資安漫畫》拍照上傳社群網站,路人甲一起入鏡,沒關係嗎?
駭客利用 Twitter 發送 Meme迷因梗圖,藉圖像隱碼術( Steganography )躲避偵測
駭客如何利用員工的社群網站 、電子郵件入侵公司?-維護職場網路安全四要點
facebook 密碼 臉書 facebook

文章導覽

【防毒軟體】趨勢科技PC-cillin 序號常見問題
《資安新聞周報》加州大學警告:人在中國不要使用微信、WhatsApp /新勒索軟體Ryuk瞄準大企業

訂閱資安趨勢電子報

CISO資安長搶先看

【防毒軟體免費下載】 懷疑中毒? 立即掃描!

【防毒軟體免費下載】 懷疑中毒? 立即掃描!

近期文章

  • 你的按鍵被監控了嗎?什麼是鍵盤側錄器(keylogger)? 鍵盤側錄器進入電腦的四個管道
  • 挖礦攻擊對 DevOps 團隊的衝擊
  • 如何封鎖YouTube頻道? 過濾兒童不宜影片
  • 《資安漫畫》聚餐後,手機遺失了怎麼辦?
  • 《資安新聞周報》蘋果爆Apple ID集體遭駭!大量登入位置在中國/幾秒內超隱私資料被看光光!踏入元宇宙前要知道的資安危機/在家用手機/網路報稅好方便 但這三件事情可以留意
  • 零信任資安模型與 DevOps 整合的 5 大元素
  • 你的iPhone 最近怪怪的-出現很多廣告、電池一下就沒電?五步驟檢測iPhone上的惡意軟體
  •  【字說自話】 數字1 跟字母 l 說:「你是我沒有血緣的雙胞胎」一秒識別釣魚網站偽裝術
  • 以 MITRE ATT&CK for ICS 框架深入解析ICS 漏洞攻擊 (3-1)
  • 玩遊戲爆PING? 四個降低延遲的技巧!
  • 一份專供資安長(CISO) 參考的網路資安風險指標
  • 還在用螢幕安撫小孩?十個數位時代的育兒之道
  • 三款加密貨幣詐騙:PancakeSwap、WalletConnect、Trust Wallet
  • 不再只假冒 CXO , 冒充一般員工的 BEC 詐騙郵件數量暴增
  • 為什麼會出現 about:blank 完全空白頁面?
  • 《資安新聞周報》駭客鎖定Exchange伺服器竊取公司併購資料/駭客勒索病毒假冒「Windows Update」更新檔入侵電腦 /Linux 系統拉警報!全新 Nimbuspwn 漏洞讓駭客成功獲取系統最高權限 
  • 你的藍色驗證徽章將被撤銷?! 網路釣魚詐騙瞄準 Twitter 已驗證帳戶
  • 新興地下商業模式:專賣企業網路存取權限的 AaaS ,五個資安長 (CISO) 該知道的防禦策略
  • 如何隨時隨地取得免費 WiFi 連線?四個祕訣
  • 當雲端環境出現挖礦活動,對企業是一種警訊

  • 手機中毒症狀-懷疑手機中毒,即刻檢測!
  • 手機需要防毒軟體嗎?
  • 電腦中毒 10 症狀
  • 懷疑電腦中毒該怎麼辦?不小心點到可疑連結時該做的兩件事!
  • 手機/電腦中毒,會出現哪些症狀?
  • 手機也會感染病毒! 手機中毒,會”傳染”給電腦嗎?
  • 懷疑手機/電腦中毒?想找線上掃毒工具?防毒軟體 免費下載,立即掃描檢測
  • 什麼是電腦病毒?七種常見惡意程式感染來源
  • 網路變慢 風扇很大聲 電費暴增?可能是它暗中搞鬼!
  • 電腦變慢? 免重灌,加速你的 Windows電腦必學技巧!
  • 擔心被安裝偷窺木馬,私生活全都露?
  • Youtube 看影片變好卡?原因讓人好驚訝!
  • 包裹出現這特徵,超商店員警告是詐騙!
  • 「有人已取得您的帳戶密碼,請登入gmail重設密碼」真的?假的?5招防帳密遭駭
  • 為何要付費買防毒軟體?免費防毒軟體有哪些風險?

文章類別

  • 免費下載
  • 防毒軟體推薦
  • CISO 資安長搶先看
  • 企業資安
  • 勒索病毒/勒索軟體
  • 資安漫畫
  • 資安小百科
  • 趨勢科技官網
sparkling Theme by Colorlib Powered by WordPress