社群媒體逐漸地成為我們數位生活的重心。人們不僅會在Facebook這些平台上進行分享、互動和發文 – 還會透過這些網站來快速登入自己愛用的應用程式和網站。但是當這些社群媒體守門人遭受駭客攻擊會發生什麼事?
是時候了,該從「Facebook 登入」切換到密碼管理程式?
資安趨勢部落格曾發表過這篇文章:臉書當萬用帳號,到處網購超方便?!網拍購物安全小秘訣 文中提及很多網拍帳號直接連動臉書, 一個萬用帳號通行無阻,但也有一旦遭入侵時所有資料全都露的危險 。當時我們的建議如下:
✓ 建議使用不同帳號及不同密碼登錄
✓【PC-cillin雲端版】防止個人資訊外洩→免費下載
不知道有多少該文章的讀者們,確實執行了?
在不久前,Facebook(臉書)遭受嚴重的攻擊,被駭客取得數位金鑰來存取至少3,000萬筆帳號(最初被認為是5,000萬筆),使得高度敏感的個人資料被暴露出來。
這次攻擊不僅讓駭客能夠存取Facebook帳號,還讓這些壞人可以存取任何連結的應用程式或網站。這告訴了我們:是時候利用密碼管理程式來儲存這些第三方帳號的登入憑證,而不是用經常遭受攻擊的社群媒體。
簡單、直覺的登入帳號方式,背後的潛在威脅
作為Facebook的使用者,你可能充分認識到用Facebook憑證登入第三方網站和應用程式帳號所帶來的易用性優勢。被稱為Facebook Connect,也就是所謂的「單一登入(SSO)」功能:一種快速、簡單、直覺的登入帳號方式,讓你不必為每個網站和應用程式記住不同的密碼。
很方便,是吧?但也有它的問題。在2018年9月底,Facebook發覺一起重大資安事件:駭客想辦法竊取了重要的存取令牌(token),這些令牌(token)是種數位金鑰,讓你不用每次登入Facebook都要重新輸入密碼。這些金鑰還可以用來存取你透過Facebook登入的第三方應用程式和網站:從Airbnb和亞馬遜到Tinder以及你最愛的新聞應用程式。因為駭客有可能非法存取這些帳號,可能會從這些帳號收集更多敏感資料來進行身份竊盜 – 從而也可以使用你的信用卡。
駭客如何取得這些重要的存取令牌?他們利用了Facebook的「檢視角度(View As)」和影片發布功能內的幾個漏洞。(檢視角度是可以讓使用者查看個人檔案向其他用戶顯示模樣的功能)。他們最終竊取了3,000萬筆的使用者存取令牌:1,500萬筆只有姓名和聯絡方式;1,400萬筆包含了幾乎所有的個人資料,包括姓名、聯絡方式、使用者名稱、性別、語言、關係狀態、宗教信仰等;另外100萬筆沒有任何資訊。
Facebook很快就聲稱目前沒有任何跡象顯示攻擊者利用Facebook SSO存取了第三方應用程式。但情況可能會改變。而且也沒辦法改變這類事件(或更糟)可能在未來再次出現的事實。Facebook這樣的社群媒體和網路商會是駭客攻擊的主要目標,而人為錯誤也不可避免地會在未來帶來一些安全隱患。Google最近的一次程式碼出錯導致Google+社群平台的50萬筆使用者資料被外露,讓他們決定在10個月後(從2018年10月算起)關閉個人版的Google+。
被駭之後該留心的四件事
Facebook已經修復了漏洞並重設了受影響的存取令牌(token),這有助於阻止之後的攻擊。但如果你的帳戶已經被非法存取過,則應該採取下列幾個步驟:
- 連到此連結來確認自己是否受到影響。
- 小心詐騙:詐騙份子會利用外洩的資料來打電話、寄電子郵件或傳送訊息給你。
- 慎防網路釣魚郵件:詐騙份子可能會利用這起事件來偽裝成Facebook官方寄送電子郵件讓你給出敏感資料。這裡提供如何確認的方法。
- 你可能需要打電話給銀行:如果你屬於那第二類的1,400萬名使用者,駭客可能拿到足夠的個人資料來回答安全問題以存取你的帳戶。考慮增加多幾層的安全防護。
未雨綢繆,確保帳號安全四個建議
完成以上動作後,請考慮下列選項來確保你的帳號安全:
- 停用Facebook SSO。進到你的Facebook設定頁面並移除使用中的應用程式和網站底下所有的應用程式。接著到偏好設定內的應用程式、網站和遊戲,點擊編輯並選擇關閉。
- 啟用雙因子身份驗證:這可以替你的Facebook登入多加一層防護。進入Facebook的設定>帳號安全和登入>雙重驗證>使用雙重驗證。
- 考慮使用Facebook的應用程式密碼產生器:如果你希望讓應用程式和網站保持連線,此功能可讓你為連結的應用程式和網站產生獨特的密碼,而非使用Facebook SSO密碼。不過密碼管理程式無法儲存這些密碼,如果你登出應用程式就必須產生新的密碼。
- 更好的作法是用密碼管理程式來替每個Facebook連結的應用程式和網站安全地產生和儲存強大而獨特的密碼。
如果停用Facebook SSO可能會失去一些共享功能。例如,你可能會發現無法將新聞應用程式內的文章直接發布/分享到Facebook,而必須手動剪貼連結。不過這取決於你所使用的應用程式。而且到最後,你必須決定什麼對你更為重要:應用程式/網站與Facebook間更緊密的整合,或將你的密碼儲存在遠離社群媒體的獨立安全位置。
趨勢科技密碼管理通 ,輕鬆管理複雜帳號密碼,安心線上交易
趨勢科技密碼管理通能夠跨越PC/Mac以及Android和iOS行動設備來幫你保護應用程式和網站帳號密碼的隱私和安全。將它當作Facebook SSO高度方便使用卻更加安全的的替代方案。趨勢科技密碼管理通:
太多網購帳號記不住,用臉書當萬用帳號,有購方便?!
- 為你的每一個網路帳號產生高度安全、獨特且難以破解的密碼。
- 安全地儲存和輸入這些帳密來進行登入,因此你不必去一一記住它們。
- 如果發生了密碼外洩或被竊事件,提供簡單快速的密碼變更方法。
- 讓你能夠在任何地方、任何設備和瀏覽器快速輕鬆地管理密碼。
- 同時適用於應用程式和網站,特別有利於在行動設備上與Facebook結合使用的應用程式。
想了解更多資訊或購買產品,請連到我們的趨勢科技密碼管理通網站。趨勢科技的PC-cillin雲端版內含趨勢科技密碼管理通,可免費下載體驗。
@原文出處:Why it’s Time to Switch from Facebook Login to a Password Manager
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,安全管理密碼 》即刻免費下載試用
【3C Fun 新聞首播】密碼外洩大代誌
2018年度十大爛密碼出爐,不出所料「123456」「password」,繼續蟬聯冠亞軍 ,提醒你英文名字也是各大個資外洩事件中,弱密碼常客。
擔心自己上榜嗎? 馬上來看資安主播王酒米與工程師犬旺財為大家解說除了「Maggie」和 「George」外,還有哪些英文名字入榜:)
【3C Fun 新聞】 3C 小撇步-密碼篇:「你母親的名字」旺財的答案為何是 「卡好」?
「你在何處遇見另一半?」「你寵物的名字」…旺財為何總能猜得到王酒米密碼提示問題的答案? 🙄
❎ 網拍購物直接連動臉書當萬用帳號,有何風險? ❎ 密碼太多記不住怎麼辦? ↘ 馬上來看小撇步
✅ 密碼管理通,免費下載體驗 ➔ https://t.rend.tw/?i=NzAxOA
✅PC-cillin雲端版,免費下載體驗 ➔ https://t.rend.tw/?i=NzAxNw
✅《延伸閱讀》影/ 密碼外洩大代誌➔ http://t.rend.tw/?i=NzA0OQ
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。 *手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
