Twitter(推特)公告他們系統內的一個臭蟲可能會讓使用者密碼曝光,並呼籲所有的使用者變更帳號密碼。他們還沒有透露受到影響的使用者數量,但該公司表示已經調查並且修復了此一漏洞。不過內部人士聲稱這個問題影響了大量的使用者,並且讓密碼暴露了“好幾個月”。
Twitter在聲明裡說明自己使用了 bcrypt 進行雜湊處理,這是種較強的雜湊演算法,可以在不洩露密碼的情況下驗證使用者帳號。但該公司沒有透露為什麼密碼會在雜湊處理之前先儲存在內部日誌。他們的調查結果表示並沒有遭受入侵或帳號受到濫用的跡象。不過聲明仍建議使用者要考慮變更帳號密碼以及所有使用相同密碼的服務密碼。
使用者在打開應用程式時也會跳出視窗來告知此問題。根據報導,Twitter到二月為止已經達到3.3億名使用者,且稱他們“正在進行計劃來以防止這漏洞再次發生。”
[延伸閱讀:如何防護你的社群網站帳號]
為了你的隱私和安全著想,以下是三個保護社群網站帳號的建議: 繼續閱讀
雖然Mozilla Firefox瀏覽器一直是最受歡迎的瀏覽器之一(其他還包括Google Chrome及好幾代的微軟瀏覽器),但它頗受好評的一項安全功能似乎並沒有看起來那麼有效。根據AdBlock Plus擴充套件作者Wladimir Palant的說法,Mozilla Firefox和Thunderbird的“主控密碼”所用加密機制很容易受到暴力破解。
主控密碼主要是作為儲存在瀏覽器或郵件客戶端內密碼字串的加密金鑰。它的主要問題出現在其SHA-1函式中,這函式的疊代次數設為1次,而業界標準至少是10,000次。因為GPU技術的長足進步,較少的疊代次數讓攻擊者可以利用暴力破解來取得主控密碼,使得一分鐘內就可以解密儲存在Mozilla資料庫內的加密密碼。
這並非主控密碼第一次出現問題 – 約十年前就有一份臭蟲報告指出了系統缺陷。
Mozilla目前正在測試代號為Lockbox的新密碼管理器,這密碼管理器將提供改進的密碼管理和線上安全。Lockbox目前可以以擴充套件型式取得,正在進行alpha測試。
強密碼的重要性
雖然Mozilla提供主控密碼等功能值得讚賞,但依然存在了缺陷。因此,使用者不應該僅僅依靠內建的密碼管理器來保護網路帳號,而是要確保自己的密碼盡可能地強大。 繼續閱讀
免費無線上網安全嗎?如何在Facebook 上隱身, 不讓特定朋友知道你上線?網路攝影機也會成為攻擊他人的幫凶? 趨勢科技 3C 好麻吉為大家整理了 網路隱私常見問題,持續更新中…,如果大家還有其他關於網路隱私的問題,歡迎Android 用戶安裝 i3C app,趨勢科技專業線上客服團隊,協助您解決在手機或電腦上遇到的問題。
上網常見問題列表:
上網輸入個資前,你有先檢查網址列是否有這個嗎?
【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?
當心Google 隱私帳戶的個人資料外洩! 趕緊管理應用程式存取權限
裸照外流,只有A 咖女星要擔心?預防雲端資料外流,六個小提醒
受夠了臉書被洗版? FB ”保持距離”與”暫停追蹤”設定教學
網路正妹想跟我當 fb 好友,該不該接受呢?三步驟從大頭貼揪出臉書假帳號!
被朋友的標籤出賣了? facebook 照片不想被朋友標記,請這麼做
你不是志玲姐姐沒關係? 不是 A 咖明星也必學的手機、電腦送修注意事項!
免費無線上網安全嗎? 當心駭客也喜歡跟你一起連線公共 Wi-Fi !
本部落格曾在“關於密碼千萬不要做的四件事與密碼設定小秘訣”這篇文章中提到:密碼就跟你的牙刷一樣,不要跟任何人共用。但英國國會議員似乎不這麼認為….
英國國會議員的密碼使用習慣在經過幾位國會議員的推特發文之後遭受嚴格地檢視。事件導因於中貝德福郡議員Nadine Dorries就國務卿Damien Green的推特發文發表評論之後。
Dorries在一開始的留言裡稱自己的工作人員(包括交換計劃的實習生)可以用她的電腦來幫她管理電子郵件。經過Twitter用戶和新聞評論員的反應之後,其他國會議員也相繼回覆她的留言。一名議員說自己經常忘記密碼而必須問他的工作人員,另一位則說會讓電腦保持在不上鎖的狀態,並且與辦公室主管共用密碼。
除了議員,前員工也參加了討論。一位前研究員說當自己為一名議員工作時,他會定期登入並使用老闆的電腦。BBC NewsNight的製作人也補充說國會議員與工作人員共用登入資訊是常見的做法。
圖1、來自國會議員和其他人分享安全作法的留言
當英國資訊專員辦公室(ICO)提醒國會議員有義務保護自己的資料,資安專家也對他們加以批評。共用密碼被認為是不安全的;能夠使用電腦的人越多,被有意或無意濫用的機會就越大。任何一個處理敏感資料的人都應該啟用雙因子身份認證 – 現在就算是一般的電子郵件服務也提供這選項,都是因為2016年大規模的資料外洩事件所帶來的影響。 繼續閱讀
OurMine 是一個特立獨行的「資安團體」,宣稱專門提供個人和企業服務,但其實他們較為人所知的是專門駭入技術人員的社群網路帳號,尤其擅長駭入 Twitter 帳號。過去曾經受害的對象包括 Facebook 執行長 Mark Zuckerberg、Google 執行長 Sundar Pichai、Spotify 創辦人 Daniel Ek、Amazon 技術長 Werner Vogels,以及最新的 Niantic 執行長 John Hanke。
Niantic 是全球熱門手機遊戲《精靈寶可夢GO》(Pokémon Go) 的開發公司,儘管該遊戲目前在某些地區仍未開放,但玩家數量卻仍維持一定成長,而且已經出現了各種相關的網路犯罪。