還在用「Facebook 登入」各種網站和應用程式？

社群媒體逐漸地成為我們數位生活的重心。人們不僅會在Facebook這些平台上進行分享、互動和發文 – 還會透過這些網站來快速登入自己愛用的應用程式和網站。但是當這些社群媒體守門人遭受駭客攻擊會發生什麼事？

是時候了，該從「Facebook 登入」切換到密碼管理程式?

資安趨勢部落格曾發表過這篇文章:臉書當萬用帳號,到處網購超方便?!網拍購物安全小秘訣 文中提及很多網拍帳號直接連動臉書, 一個萬用帳號通行無阻,但也有一旦遭入侵時所有資料全都露的危險 。當時我們的建議如下:
✓ 建議使用不同帳號及不同密碼登錄
✓【PC-cillin雲端版】防止個人資訊外洩→免費下載
不知道有多少該文章的讀者們，確實執行了？

在不久前，Facebook（臉書）遭受嚴重的攻擊，被駭客取得數位金鑰來存取至少3,000萬筆帳號（最初被認為是5,000萬筆），使得高度敏感的個人資料被暴露出來。

這次攻擊不僅讓駭客能夠存取Facebook帳號，還讓這些壞人可以存取任何連結的應用程式或網站。這告訴了我們：是時候利用密碼管理程式來儲存這些第三方帳號的登入憑證，而不是用經常遭受攻擊的社群媒體。

簡單、直覺的登入帳號方式，背後的潛在威脅

作為Facebook的使用者，你可能充分認識到用Facebook憑證登入第三方網站和應用程式帳號所帶來的易用性優勢。被稱為Facebook Connect，也就是所謂的「單一登入（SSO）」功能：一種快速、簡單、直覺的登入帳號方式，讓你不必為每個網站和應用程式記住不同的密碼。

很方便，是吧？但也有它的問題。在2018年9月底，Facebook發覺一起重大資安事件：駭客想辦法竊取了重要的存取令牌（token），這些令牌（token）是種數位金鑰，讓你不用每次登入Facebook都要重新輸入密碼。這些金鑰還可以用來存取你透過Facebook登入的第三方應用程式和網站：從Airbnb和亞馬遜到Tinder以及你最愛的新聞應用程式。因為駭客有可能非法存取這些帳號，可能會從這些帳號收集更多敏感資料來進行身份竊盜 – 從而也可以使用你的信用卡。

駭客如何取得這些重要的存取令牌？他們利用了Facebook的「檢視角度（View As）」和影片發布功能內的幾個漏洞。（檢視角度是可以讓使用者查看個人檔案向其他用戶顯示模樣的功能）。他們最終竊取了3,000萬筆的使用者存取令牌：1,500萬筆只有姓名和聯絡方式；1,400萬筆包含了幾乎所有的個人資料，包括姓名、聯絡方式、使用者名稱、性別、語言、關係狀態、宗教信仰等；另外100萬筆沒有任何資訊。

Facebook很快就聲稱目前沒有任何跡象顯示攻擊者利用Facebook SSO存取了第三方應用程式。但情況可能會改變。而且也沒辦法改變這類事件（或更糟）可能在未來再次出現的事實。Facebook這樣的社群媒體和網路商會是駭客攻擊的主要目標，而人為錯誤也不可避免地會在未來帶來一些安全隱患。Google最近的一次程式碼出錯導致Google+社群平台的50萬筆使用者資料被外露，讓他們決定在10個月後（從2018年10月算起）關閉個人版的Google+。

被駭之後該留心的四件事

Facebook已經修復了漏洞並重設了受影響的存取令牌（token），這有助於阻止之後的攻擊。但如果你的帳戶已經被非法存取過，則應該採取下列幾個步驟：

1. 連到此連結來確認自己是否受到影響。
2. 小心詐騙：詐騙份子會利用外洩的資料來打電話、寄電子郵件或傳送訊息給你。
3. 慎防網路釣魚郵件：詐騙份子可能會利用這起事件來偽裝成Facebook官方寄送電子郵件讓你給出敏感資料。這裡提供如何確認的方法。
4. 你可能需要打電話給銀行：如果你屬於那第二類的1,400萬名使用者，駭客可能拿到足夠的個人資料來回答安全問題以存取你的帳戶。考慮增加多幾層的安全防護。

未雨綢繆，確保帳號安全四個建議

完成以上動作後，請考慮下列選項來確保你的帳號安全：

1. 停用Facebook SSO。進到你的Facebook設定頁面並移除使用中的應用程式和網站底下所有的應用程式。接著到偏好設定內的應用程式、網站和遊戲，點擊編輯並選擇關閉。
2. 啟用雙因子身份驗證：這可以替你的Facebook登入多加一層防護。進入Facebook的設定>帳號安全和登入>雙重驗證>使用雙重驗證。
3. 考慮使用Facebook的應用程式密碼產生器：如果你希望讓應用程式和網站保持連線，此功能可讓你為連結的應用程式和網站產生獨特的密碼，而非使用Facebook SSO密碼。不過密碼管理程式無法儲存這些密碼，如果你登出應用程式就必須產生新的密碼。
4. 更好的作法是用密碼管理程式來替每個Facebook連結的應用程式和網站安全地產生和儲存強大而獨特的密碼。

如果停用Facebook SSO可能會失去一些共享功能。例如，你可能會發現無法將新聞應用程式內的文章直接發布/分享到Facebook，而必須手動剪貼連結。不過這取決於你所使用的應用程式。而且到最後，你必須決定什麼對你更為重要：應用程式/網站與Facebook間更緊密的整合，或將你的密碼儲存在遠離社群媒體的獨立安全位置。

趨勢科技密碼管理通 ，輕鬆管理複雜帳號密碼，安心線上交易

趨勢科技密碼管理通能夠跨越PC/Mac以及Android和iOS行動設備來幫你保護應用程式和網站帳號密碼的隱私和安全。將它當作Facebook SSO高度方便使用卻更加安全的的替代方案。趨勢科技密碼管理通：

• 為你的每一個網路帳號產生高度安全、獨特且難以破解的密碼。
• 安全地儲存和輸入這些帳密來進行登入，因此你不必去一一記住它們。
• 如果發生了密碼外洩或被竊事件，提供簡單快速的密碼變更方法。
• 讓你能夠在任何地方、任何設備和瀏覽器快速輕鬆地管理密碼。
• 同時適用於應用程式和網站，特別有利於在行動設備上與Facebook結合使用的應用程式。

想了解更多資訊或購買產品，請連到我們的趨勢科技密碼管理通網站。趨勢科技的PC-cillin雲端版內含趨勢科技密碼管理通,可免費下載體驗。

@原文出處：Why it’s Time to Switch from Facebook Login to a Password Manager

PC-cillin 雲端版整合 AI 人工智慧的多層式防護，安全管理密碼 》即刻免費下載試用

【3C Fun 新聞首播】密碼外洩大代誌
2018年度十大爛密碼出爐,不出所料「123456」「password」，繼續蟬聯冠亞軍 ,提醒你英文名字也是各大個資外洩事件中,弱密碼常客。

擔心自己上榜嗎? 馬上來看資安主播王酒米與工程師犬旺財為大家解說除了「Maggie」和 「George」外,還有哪些英文名字入榜:)

【3C Fun 新聞】 3C 小撇步-密碼篇:「你母親的名字」旺財的答案為何是 「卡好」?

「你在何處遇見另一半？」「你寵物的名字」…旺財為何總能猜得到王酒米密碼提示問題的答案? 
 網拍購物直接連動臉書當萬用帳號,有何風險?  密碼太多記不住怎麼辦?  馬上來看小撇步

 密碼管理通,免費下載體驗 ➔ https://t.rend.tw/?i=NzAxOA
PC-cillin雲端版,免費下載體驗 ➔ https://t.rend.tw/?i=NzAxNw
《延伸閱讀》影/ 密碼外洩大代誌➔ https://t.rend.tw/?i=NzA0OQ

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。 *手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼