Skip to main content

資安趨勢部落格

  • 防毒軟體推薦
  • 智慧家庭
  • 勒索病毒/勒索軟體
  • 企業資安
  • APT 攻擊
  • 3C 好麻吉幫幫我
  • 趨勢科技官網
  • 電子報訂閱

還在用「Facebook 登入」各種網站和應用程式?

2019 年 01 月 18 日2019 年 01 月 26 日 Trend Labs 趨勢科技全球技術支援與研發中心 FACEBOOK 臉書(fb), 密碼管理, 帳號被盜, 社群(交)網路

社群媒體逐漸地成為我們數位生活的重心。人們不僅會在Facebook這些平台上進行分享、互動和發文 – 還會透過這些網站來快速登入自己愛用的應用程式和網站。但是當這些社群媒體守門人遭受駭客攻擊會發生什麼事?

是時候了,該從「Facebook 登入」切換到密碼管理程式?

資安趨勢部落格曾發表過這篇文章:臉書當萬用帳號,到處網購超方便?!網拍購物安全小秘訣 文中提及很多網拍帳號直接連動臉書, 一個萬用帳號通行無阻,但也有一旦遭入侵時所有資料全都露的危險 。當時我們的建議如下:
✓ 建議使用不同帳號及不同密碼登錄
✓【PC-cillin雲端版】防止個人資訊外洩→免費下載
不知道有多少該文章的讀者們,確實執行了?

在不久前,Facebook(臉書)遭受嚴重的攻擊,被駭客取得數位金鑰來存取至少3,000萬筆帳號(最初被認為是5,000萬筆),使得高度敏感的個人資料被暴露出來。

這次攻擊不僅讓駭客能夠存取Facebook帳號,還讓這些壞人可以存取任何連結的應用程式或網站。這告訴了我們:是時候利用密碼管理程式來儲存這些第三方帳號的登入憑證,而不是用經常遭受攻擊的社群媒體。

簡單、直覺的登入帳號方式,背後的潛在威脅

作為Facebook的使用者,你可能充分認識到用Facebook憑證登入第三方網站和應用程式帳號所帶來的易用性優勢。被稱為Facebook Connect,也就是所謂的「單一登入(SSO)」功能:一種快速、簡單、直覺的登入帳號方式,讓你不必為每個網站和應用程式記住不同的密碼。

很方便,是吧?但也有它的問題。在2018年9月底,Facebook發覺一起重大資安事件:駭客想辦法竊取了重要的存取令牌(token),這些令牌(token)是種數位金鑰,讓你不用每次登入Facebook都要重新輸入密碼。這些金鑰還可以用來存取你透過Facebook登入的第三方應用程式和網站:從Airbnb和亞馬遜到Tinder以及你最愛的新聞應用程式。因為駭客有可能非法存取這些帳號,可能會從這些帳號收集更多敏感資料來進行身份竊盜 – 從而也可以使用你的信用卡。

駭客如何取得這些重要的存取令牌?他們利用了Facebook的「檢視角度(View As)」和影片發布功能內的幾個漏洞。(檢視角度是可以讓使用者查看個人檔案向其他用戶顯示模樣的功能)。他們最終竊取了3,000萬筆的使用者存取令牌:1,500萬筆只有姓名和聯絡方式;1,400萬筆包含了幾乎所有的個人資料,包括姓名、聯絡方式、使用者名稱、性別、語言、關係狀態、宗教信仰等;另外100萬筆沒有任何資訊。

Facebook很快就聲稱目前沒有任何跡象顯示攻擊者利用Facebook SSO存取了第三方應用程式。但情況可能會改變。而且也沒辦法改變這類事件(或更糟)可能在未來再次出現的事實。Facebook這樣的社群媒體和網路商會是駭客攻擊的主要目標,而人為錯誤也不可避免地會在未來帶來一些安全隱患。Google最近的一次程式碼出錯導致Google+社群平台的50萬筆使用者資料被外露,讓他們決定在10個月後(從2018年10月算起)關閉個人版的Google+。


被駭之後該留心的四件事

Facebook已經修復了漏洞並重設了受影響的存取令牌(token),這有助於阻止之後的攻擊。但如果你的帳戶已經被非法存取過,則應該採取下列幾個步驟:

  1. 連到此連結來確認自己是否受到影響。
  2. 小心詐騙:詐騙份子會利用外洩的資料來打電話、寄電子郵件或傳送訊息給你。
  3. 慎防網路釣魚郵件:詐騙份子可能會利用這起事件來偽裝成Facebook官方寄送電子郵件讓你給出敏感資料。這裡提供如何確認的方法。
  4. 你可能需要打電話給銀行:如果你屬於那第二類的1,400萬名使用者,駭客可能拿到足夠的個人資料來回答安全問題以存取你的帳戶。考慮增加多幾層的安全防護。

未雨綢繆,確保帳號安全四個建議

完成以上動作後,請考慮下列選項來確保你的帳號安全:

  1. 停用Facebook SSO。進到你的Facebook設定頁面並移除使用中的應用程式和網站底下所有的應用程式。接著到偏好設定內的應用程式、網站和遊戲,點擊編輯並選擇關閉。
  2. 啟用雙因子身份驗證:這可以替你的Facebook登入多加一層防護。進入Facebook的設定>帳號安全和登入>雙重驗證>使用雙重驗證。
  3. 考慮使用Facebook的應用程式密碼產生器:如果你希望讓應用程式和網站保持連線,此功能可讓你為連結的應用程式和網站產生獨特的密碼,而非使用Facebook SSO密碼。不過密碼管理程式無法儲存這些密碼,如果你登出應用程式就必須產生新的密碼。
  4. 更好的作法是用密碼管理程式來替每個Facebook連結的應用程式和網站安全地產生和儲存強大而獨特的密碼。

如果停用Facebook SSO可能會失去一些共享功能。例如,你可能會發現無法將新聞應用程式內的文章直接發布/分享到Facebook,而必須手動剪貼連結。不過這取決於你所使用的應用程式。而且到最後,你必須決定什麼對你更為重要:應用程式/網站與Facebook間更緊密的整合,或將你的密碼儲存在遠離社群媒體的獨立安全位置。

趨勢科技密碼管理通 ,輕鬆管理複雜帳號密碼,安心線上交易

趨勢科技密碼管理通能夠跨越PC/Mac以及Android和iOS行動設備來幫你保護應用程式和網站帳號密碼的隱私和安全。將它當作Facebook SSO高度方便使用卻更加安全的的替代方案。趨勢科技密碼管理通:




太多網購帳號記不住,用臉書當萬用帳號,有購方便?!
  • 為你的每一個網路帳號產生高度安全、獨特且難以破解的密碼。
  • 安全地儲存和輸入這些帳密來進行登入,因此你不必去一一記住它們。
  • 如果發生了密碼外洩或被竊事件,提供簡單快速的密碼變更方法。
  • 讓你能夠在任何地方、任何設備和瀏覽器快速輕鬆地管理密碼。
  • 同時適用於應用程式和網站,特別有利於在行動設備上與Facebook結合使用的應用程式。

想了解更多資訊或購買產品,請連到我們的趨勢科技密碼管理通網站。趨勢科技的PC-cillin雲端版內含趨勢科技密碼管理通,可免費下載體驗。

@原文出處:Why it’s Time to Switch from Facebook Login to a Password Manager

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,安全管理密碼 》即刻免費下載試用

【3C Fun 新聞首播】密碼外洩大代誌
2018年度十大爛密碼出爐,不出所料「123456」「password」,繼續蟬聯冠亞軍 ,提醒你英文名字也是各大個資外洩事件中,弱密碼常客。

擔心自己上榜嗎? 馬上來看資安主播王酒米與工程師犬旺財為大家解說除了「Maggie」和 「George」外,還有哪些英文名字入榜:)



【3C Fun 新聞】 3C 小撇步-密碼篇:「你母親的名字」旺財的答案為何是 「卡好」?

「你在何處遇見另一半?」「你寵物的名字」…旺財為何總能猜得到王酒米密碼提示問題的答案? 🙄
❎ 網拍購物直接連動臉書當萬用帳號,有何風險? ❎ 密碼太多記不住怎麼辦? ↘ 馬上來看小撇步

✅ 密碼管理通,免費下載體驗 ➔ https://t.rend.tw/?i=NzAxOA
✅PC-cillin雲端版,免費下載體驗 ➔ https://t.rend.tw/?i=NzAxNw
✅《延伸閱讀》影/ 密碼外洩大代誌➔ https://t.rend.tw/?i=NzA0OQ

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。 *手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼ 好友人數

 

相關文章:

Google Play 出現53個會竊取 Facebook 登入憑證的惡意廣告程式
【密碼管理】Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!
【密碼管理】別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全
什麼是 Facebook Fired ? 下班後,不能在臉書說的話(多則先烈案例)
facebook 密碼 臉書 facebook

文章導覽

【防毒軟體】趨勢科技PC-cillin 序號常見問題
《資安新聞周報》加州大學警告:人在中國不要使用微信、WhatsApp /新勒索軟體Ryuk瞄準大企業

近期文章

  • 企業上雲 資安管理有跡可循!–趨勢雲端資安風險管理
  • 你跟著一窩蜂「開房間」了嗎?聊聊Clubhouse等線上語音聊天社群APP的六個資安風險
  • 維護資料隱私的 12 個祕訣
  • 《資安新聞周報》Clubhouse遭破解盜錄/5G 連網汽車的資安隱患/小心假礦機詐騙!/ TXOne Networks獲最佳企業資安解決方案提供者
  • 低功耗、高風險:評估遠距廣域網路 (LoRaWAN) 裝置可能面臨的攻擊
  • 超過10億次下載量的Android 應用程式SHAREit(「茄子快傳」),含有遠端程式碼攻擊漏洞
  • XDR:資安整合再升級
  • 《資安新聞周報》陳怡樺:DevOps組織決策不是靠權威,而要憑數據說話/ Gmail網釣研究最受駭客青睞三個國家/Chrome瀏覽器外掛工具藏惡意代碼!當心掉進廣告詐騙陷阱
  • 檢視高調的 Sodinokibi 勒索病毒攻擊
  • 為什麼要安裝防毒軟體? 用免費的就夠了?
  • 《資安漫畫》不要再用生日當密碼了
  • 《資安漫畫》「線上拜年」注意事項
  • 《資安漫畫》「貨到通知」「網銀通知」詐騙簡訊防不勝防,搶先攔截是關鍵
  • 《資安新聞周報》一副眼鏡 攻破19款安卓手機人臉辨識/前三大董事會必須關心的資安策略/犯罪組織販售假 COVID-19 陰性證明
  • 假中華郵政、假 UPS Taiwan 線上付款網站!網路犯罪用快遞詐騙、信用卡詐騙、摸彩詐騙賀新年
  • 企業高層帳號賣家以「Office 365密碼過期」釣魚信,鎖定全球 CEO等高階主管!
  • 後門雖不易發現,但誰走後門它卻看得一清二楚
  • 基礎架構程式碼:資安風險與如何防範
  • 【網銀簡訊釣魚警訊】詐騙集團假冒國泰世華/台新銀行通知「您網銀帳戶異常,即將凍結」當心存款人間蒸發!
  • 《資安新聞周報》勒索病毒用DDoS逼迫受害者付錢/ 避免孩子瀏覽不當網路資訊 教育部提供防護軟體免費下載/特斯拉又傳內鬼!新員工上班3天竊6千份文件

新購抽PS5

文章類別

本部落格讀者享 9 折 優惠券編號:FB090

  • 防毒軟體推薦
  • 智慧家庭
  • 勒索病毒/勒索軟體
  • 企業資安
  • APT 攻擊
  • 3C 好麻吉幫幫我
  • 趨勢科技官網
  • 電子報訂閱
sparkling Theme by Colorlib Powered by WordPress