防止帳號遭第三方非法使用的 6項對策

你每次使用完網路服務後會進行登出的動作嗎?對於不再使用的服務,尤其是與信用卡及銀行帳戶有關服務你會採取刪除帳號或解約動作,還是置之不理 ?

網路服務的帳號遭非法惡用的被害案件層出不窮。網路犯罪者不僅利用各種方式盜取他人的帳號及密碼,還會到處搜尋服務進行非法連結,企圖非法取得金錢及資訊。為了防止帳號遭第三方非法使用,本文介紹6項自我保護對策。

🔻密碼以外的驗證方式是指?

🔻雙因子驗證及風險驗證(Risk Based Authentication)是指?

🔻防止帳號遭第三方非法使用的6項自我保護對策

某些Sekhmet變種是以勒索病毒即服務(RaaS)的形式提供,這代表了不僅是作者會使用它,所以可能在未來出現更多該勒索病毒及變種的攻擊。

密碼以外的驗證方式是指?


社群網站及雲端儲存、購物網站、網路銀行等幾乎所有的網路服務進行註冊時都會要求密碼驗證。這是藉由註冊時輸入只有本人才知道的帳號及密碼的驗證的方式。

    但密碼驗證也未必是安全的。一旦帳號及密碼遭惡意的第三方盜取,那麽驗證就算是徹底被破解了。

    實際上,帳號及密碼被騙、各種網路上的服務帳號遭非法使用等的被害案件層出不窮。這種方式最嚴重的莫過於網路釣魚詐騙。僅用帳號及密碼的驗證方式來證明是否為本人的精準度已經越來越困難了。

    要求高安全性的網路服務為中心的金融機構,正一步步地採用能補強驗證密碼的弱點的驗證方式。有哪些手段讓我們來瞧瞧吧。

何謂雙因子/雙步驟驗證(2FA,Two-factor authentication)及風險驗證(Risk Based Authentication)?


●僅靠密碼是無法登入的雙因素驗證


雙因素驗證是將2種不同的驗證因素進行組合,提升驗證本人的精準度的方式。驗證的因素,被分類為「記憶」「持有」「生物資訊」3種。將這3種因素組合的方式稱之為「多因素驗證」。

  • 記憶
    根據僅有本人才知曉的資訊來驗證使用者。密碼或PIN(「personal identification number 個人身份識別碼」)、秘密問題(「母親的姓氏?」「出生地?」「寵物的名字?」等)的問題均屬此類。
  • 持有
    根據僅有本人所擁有的物品來驗證使用者。IC卡或金融卡、亂數表、Token(代碼,每隔一段時間就會被更改,僅能使用單次的一次性密碼生成器)等均屬此類。將智慧型手機作為 Token時,必須輸入由簡訊或驗證用應用程式等取得的驗證碼。
  • 生物資訊
    根據本人的身體特性的資訊來驗證使用者。指紋或臉部、靜脈模式、虹膜等均屬此類。

多數的網路銀行等的金融系統的網站服務,採用記憶及持有2種因素所組合而成的雙因素驗證。進行匯款時不僅需要帳號及密碼,還需輸入亂數表框內指定的英數字、或是預先註冊的智慧型手機等能夠取得的驗證碼。如此一來,比惡意的第三方僅使用帳號及密碼的驗證方式相比變的更加困難。

與平時不同裝置上輸入密碼時能上用場的風險驗證(Risk Based Authentication


風險驗證(Risk Based Authentication)是由與平時不同的IP網址或作業系統、瀏覽器上被要求驗證(根據帳號及密碼進行登入)時,僅限於被判定遭惡意的第三方非法連結的風險高的情況下才會被要求的追加驗證方式。追加的驗證方式為,會被要求回答預先設定好的秘密問題,或是輸入傳送到預先註冊好的裝置上的驗證碼的模式。

Apple 帳號提供了「記憶」及「持有」組合的2種因素的雙因素身份驗證方式。也採用了風險驗證(Risk Based Authentication),僅限於新買的裝置上首次進行註冊Apple服務時,需輸入預先註冊的智慧型手機上取得的驗證碼。如果追加了能夠信賴的裝置的話,那麽下次登入時就不會再被要求追加驗證了。

防止帳號遭第三方非法使用的6項自我保護對策


網路釣魚詐騙對策協會於2019年2月,以為了某種目的而實施的個人驗證的網路服務業者(10種行業・308位)為對象所進行的問卷調查中, 76.9 %的業者僅使用密碼驗證的方式。另一方面,採用雙因素驗證及Risk Based Authentication 的網路服務業者只佔了21%,由此可見採用多重驗證方式還是落後。

為了防止帳號遭第三方的非法使用,請掌握六個資安重點:

1.熟悉詐騙手法及瞄準的目標


熟悉詐騙手法及瞄準的目標是自我保護最基本的方式。例如,如果從郵件及簡訊、社群網站內的連結、網路廣告等進入的網站上,被要求輸入某些資訊時,請地懷疑是詐騙釣魚可疑性相當高。驗證用的應用程式也務必從Google Play或App Store等的官方商店下載。平時就應多瀏覽資安業者或相關機構所發布的警示資訊。         

2.不重複使用同一組帳號及密碼


網路犯罪者會從網路釣魚詐騙等非法取得驗證資訊( 帳號及密碼)進行清單化,並使用他們嘗試登入各種服務。如此一來,一旦在不同的網路服務使用同一組帳號及密碼組合的話,相對的帳號遭盜取的風險將大大提高。

✅3.設定第三方難以猜測的密碼


因為使用的網路服務越多對於管理密碼這種事就越覺得麻煩。如此一來即可能設定出讓第三方容易猜測出來的簡單密碼。此外,有些服務無法將字母、大寫、小寫、數字號碼等的字元的隨機組合與長字串設定為密碼。請注意在可設定的範圍內,對每個服務上都應設定讓第三方難以猜測的密碼。如果本身對於管理密碼及設定密碼有困難的話,也可以使用可自動製作、管理密碼的軟體。如「趨勢科技密碼管理通」

4.使用更安全的網路服務


請使用以資安為考量而設計的網路服務與信用卡等重要資訊相關聯的服務,要具有能防止遭非法登入等雙因素驗證及風險認證(Rick Based Authentication)的對策。如果有多個同樣的服務的話,不僅要比較服務的內容更要選擇能夠強化資安組合服務較高的對策。

延伸閱讀:

《資安漫畫》這幾組最常被盜的登入密碼,你有用過嗎?




《資安漫畫》詐騙購物網站五個特徵

5.盡可能每次都做到登入動作


自己以外的家人也有可能會使用同一部裝置,請於每次使用完服務後進行登出的動作。如果一直保持登入狀態的話,那麼帳號遭第三方惡意使用的風險將增高。同時,除了惡意的第三方以外,家中成員未經許可擅自使用,亦可能產生糾紛。為了避免發生不必要的糾紛,請變更註冊或結帳時所需的驗證設定。另外, Google Chrome等網路瀏覽器具有保存曾在輸入欄(表單)中輸入帳號及密碼的文字串的功能。請將此功能設為無效,並刪除已經儲存於瀏覽器內的密碼。

這樣的對策在設備遺失或遭竊時也都具有功效。即便是在自己所使用的的裝置上、或與金錢及個人資訊有相關聯的重要服務上,請盡可能每次都做到登入的動作。

✅6.請將不再使用的網路服務進行解約


如果對於不再使用的服務置之不理,只會增加遭非法使用及資訊洩露的風險而已。請刪除信用卡及銀行帳戶與金錢有關的資訊及個資、或是覆寫上假的資訊後再行解約服務。

※一旦發現可疑的交易明細請定期的檢查信用卡的交易明細及網購的購買紀錄,支付應用程式的使用紀錄也是相當重要。萬一,發現到自己不清楚的可疑交易時,請盡速向發卡單位呈報,以免擴大損失。

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,
FBIGYoutubeLINE官網