密碼 - 資安趨勢部落格

還用公司的電子郵件帳號註冊社群網站嗎? 駭客拿到你的帳密,可能發生哪些事?

2016 年 10 月 19 日2016 年 10 月 27 日趨勢科技 TrendMicro

□你用公司的電子郵件帳號註冊社群網站嗎?

□為何一個帳密被盜,其他帳密也連鎖整串失守?

□你有定期檢查你的對帳單嗎?

許多人會用公司電子郵件地址註冊LinkedIn,Facebook和Adobe等網站,被竊的憑證可能讓攻擊者進入公司內部網路。

攻擊者假設使用者會在多個網站上重複使用密碼，因此請確保為不同的帳號使用高強度和個別的密碼。刑事局曾破獲歹徒將生日、電話等個資，破解數百名 Yahoo！等網站用戶密碼，再以同一帳號密碼登入其他網站。為了防止帳號不再被盜，每次註冊新程式時，最好設定不同的帳號/密碼！

延伸閱讀:相同帳密惹禍 ! 淘寶 2059 萬筆帳號遭測試攻擊

下文將告訴你一旦駭客拿到你帳號密碼，可能發生的七件事和如何保護你的帳號密碼。包含為何要定期檢查你的信用卡或金融簽帳卡。

大量資料外洩事件連環爆,你必須懂的帳密被竊七個流向與七個保護密訣

從買衣服和付帳單到溝通和求職，人們越來越常使用這些讓生活更加方便的網站和線上服務。網路娛樂的使用度也在成長，人們放棄了傳統電視而轉向訂閱隨選服務，像是Netflix、Hulu和Amazon。甚至音樂也來自線上服務，如Spotify和Apple Music。雖然這些服務的價格合理且方便，但在消費者使用前必需給出一定的資料 – 至少需要電子郵件地址或電話號碼，以及信用卡資料和付費帳單地址。

這些服務都是為了方便、快速而設計，安全性可能就沒有列在優先考慮之中。最近大量的大規模資料外洩事件顯示多麼容易就能夠在網路上竊得個人資料。就在上個月，雅虎證實約有5億筆帳號被竊，讓5億人蒙受一連串可能的安全問題。在地下市場可以輕易地找到Netflix密碼，還有PayPal、Ebay、Dropbox和其他熱門網站的用戶憑證。網路犯罪分子取得帳戶資料並打包銷售。

他們可以得到什麼？純粹的利益。你可以到這裡計算網路犯罪分子可以從各種不同網站憑證中賺得多少。

用竊來的使用者名稱和密碼破解其他網站上的帳號

憑證填充（Credential stuffing）或者說用竊來的使用者名稱和密碼,破解其他網站上的帳號,是使用這些遭竊憑證的方法之一。顯然地，許多使用者會重複使用密碼，這說明了為什麼這種作法被證實很容易成功。外洩的電子郵件地址還會給受害者帶來許多其他風險。個人電子郵件帳號常用來驗證其他網路帳號，這讓網路犯罪分子可以用一組憑證來存取其他網站。繼續閱讀

【密碼管理】Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧

2016 年 10 月 06 日2019 年 02 月 11 日趨勢科技 TrendMicro

英國每日鏡報（Mirror）報導，個資外流的雅虎帳號中，最常用的密碼分別是以下十個:
❶ 123456
❷ password
❸ welcome
❹ ninja
❺ abc123
❻ 123456789
❼ 12345678
❽ sunshine
❾ princess
❿ qwerty

(2016/11/11 更新)

如果你還待在地球上，應該已經知道Yahoo發生了大規模資料外洩事件。這家網路先驅最近承認5億筆帳號相關資料是兩年前竊自它的網路，只是最近才發現。這可能給了壞人很長一段時間來侵害你的資料，如果你是Yahoo使用者的話。在前一篇文章專家提醒大家光是變更密碼並不足夠保護帳號安全!,請檢查使用Yahoo帳號的iPhone郵件應用程式是否仍可存取,這一篇文章我們來複習保持密碼安全小技巧。

這是一連串網路巨擘出現資料外洩事件的最新一起，其他還包括了LinkedIn、tumblr、MySpace等等。但它是目前以來的最大咖，可能也是外洩最嚴重的一次。讓我們藉此機會來檢視一些最佳實作跟安全提示，可以幫助你保護使用密碼帳號的安全。

當心假冒 Yahoo官方發送的確認帳號網路釣魚信

根據Yahoo所說，國家等級的駭客侵入了它的網路，可能已經取走姓名、電子郵件地址、電話號碼、出生日期、密碼雜湊值，還在某些情況下的加密或未加密的安全問題和答案。這影響了整個Yahoo、Yahoo理財、Yahoo運動和Flickr使用者。

當此種網路攻擊發生時，不只是會讓該公司陷入麻煩，還包括其服務的使用者們。Yahoo指出使用者的支付資料和銀行帳號資料不會儲存在系統中，所以是安全的。但使用者在攻擊過後仍然面臨許多風險。

本落格曾報導過刑事局警告:假 Gmail異常登入通知,真騙密碼!駭客善於利用竊來的帳號資料來進行所謂的網路釣魚（Phishing）攻擊，偽裝成Yahoo或其他公司來寄送電子郵件給目標。詳細的資料可以用來讓電子郵件看起來更真實。他們可能會要求受害者點入連結來確認帳號或是類似的手法。這樣做的目的是為了得到更多使用者的敏感資訊，通常跟財務有關。或甚至利用資料竊取惡意軟體來加以感染。

萬萬不可一組密碼走天下

更甚之，許多Yahoo使用者可能會在不同網站使用相同的密碼，甚至是相同的使用者名稱/密碼組合。如果這樣，那麼擁有你詳細資料的網路犯罪份子就可以侵入其他網路帳號，造成更多的傷害和經濟損失。

刑事局曾破獲歹徒將生日、電話等個資，破解數百名Yahoo！等網站用戶密碼，再以同一帳號密碼登入其他網站。總之別和 Facebook 創辦人一樣用萬用密碼！五招讓帳密更安全

犯罪者會利用這些隨處使用同一組帳號密碼的使用者心理，將到手的帳號密碼組合使用，嘗試登入各種服務。因此，若隨處使用相同的帳號密碼，其他各種服務也會遭到非法登入，受害的範圍將會擴大。

LINE台灣臉書官方帳號公布「7種最常被盜的登入密碼」，看看你中獎了嗎?

1.一組密碼走天下
2.生日
3.純數字
4.密碼太短
5.跟帳號一樣繼續閱讀

驚傳雅虎證實5億用戶資料被駭，快檢查你是不是受害者之一？

2016 年 10 月 03 日2016 年 10 月 04 日趨勢科技TrendMicro

雅虎公司（Yahoo! Inc.）於上月22日證實5億用戶資料遭駭客竊取，截至目前為止，2016年已經有至少三起駭客攻擊事件:五月時，一名駭客宣稱持有3.6億個MySpace用戶的email帳號。同月網路上又傳出駭客兜售1.17億個LinkedIn帳號。相隔三個月不到，今年八月，雲端儲存公司Dropbox傳出6,000多萬帳戶遭竊取。

面對一波未平一波又起的駭客攻擊，除了期許大公司們提升資料庫的資安，身為一般使用者，應該如何捍衛自己的網路安全呢？

其實一英文網站HaveIbeenPwned可以利用Email或帳號查詢帳號是否曾遭受駭客攻擊。網站中也同時羅列曾經遭受到駭客攻擊的網站清單。以下是使用HaveIbeenPwned的簡易教學，動手檢查一下自己常用的帳號吧！

進入HaveIbeenPwned首頁，你將看到一欄搜尋列，在此填入你要檢查的Email或使用者名稱，幾秒內你就可以知道你的帳密曾於哪些網站遭受攻擊。

若帳號安全無虞，搜尋結果會顯示綠色~ 繼續閱讀

又有明星私密照?是時候好好正視密碼這道防線了！

2016 年 09 月 22 日2016 年 10 月 03 日趨勢科技TrendMicro 2 筆留言

本週娛樂新聞亮點除了布裘銀色夫妻組解散，還有GD戀小8歲日本嫩模私密浴照火辣流竄。年僅 20歲的日籍女模小松菜奈於9月18日被爆與BIGBANG隊長GD相戀，起因源自於GD私人Instagram帳號疑似遭駭客盜用，而使得GD與小松菜奈的私下親密照曝光。

明星、名人私人照流出已不是第一次了，2014年蘋果 iCloud 平台遭逢駭客攻擊，多位明星私密照流出，包含許多已刪除許久的照片、影片。當時涉及到的明星包括奧斯卡影后珍妮佛勞倫斯（Jennifer Lawrence）、愛莉安娜·格蘭德（Ariana Grande），凱特·阿普頓（Kate Upton）和維多利亞·嘉絲蒂（Victoria Justice）等等。

雖然多數民眾的私人社群照片不會如同明星們的廣為流傳，但一想到自己的照片在網路上任人宰割總還是怪怪的吧？這邊有幾個小撇步讓大家好好保護自己喔！

繼續閱讀

密碼安全提示問題竟讓小廣吃味了!

2015 年 12 月 30 日2016 年 01 月 04 日趨勢科技 TrendMicro

《小廣和小明的資安大小事》脾氣超好的小廣怎麼看起來不開心呢?

你曾在社群網站上給過關於「安全提示問題及答案」的提示嗎？

在網路上進行帳號註冊認證時，對本人的認證方式不僅僅是透過ID/密碼而已，也會請用戶針對當初所登錄的「安全提示問題及答案」來回答。這是透過輸入本人之前所選定的問題進行回答後，在重設密碼或忘記密碼時透過電子信箱來告知用戶密碼的一種方式。根據服務業者的不同，有時也會被強制要求輸入問題及答案。用戶往往為了省去繁雜的密碼再設定手續，不得不利用的用戶也應該不在少數。

但，問題的選擇性如果為「出生地是…？」「寵物的名字」等等，因為幾乎都已涉及到本人自身的問題…，只要稍微對本人周遭的事物有些許了解，就不難推敲出答案來了。進行密碼重設時應多想想問題及答案的各種組合，並且要多留意未經授權就想入侵的不肖第三者。

重點是，註冊一個第三者不容易猜到的答案。最安全的方式就是確認用戶本人是否有無將答案的提示紀錄在臉書的個人資料或推特、微博上面吧。另外，選擇利用行動電話的簡訊來接收密碼，如果是利用其他方式的話，盡可能選擇「只有本人能夠連結」的安全的認證方式吧！

重設密碼要小心你的「安全提示問題」

曾為美國副總統參選人的Sarah Palin莎拉裴林的案例, 2008 年駭客使用教科書中最老舊的手法之一 – 利用密碼重設功能 – 入侵了美國副總統候選人莎拉裴琳(Sarah Palin)的 Yahoo! 個人帳號(請參考:Sarah Palin’s E-Mail Hacked)，還把他入侵成功的證據公諸於世。據新聞報導指出，駭客在 Yahoo! 的身分確認問題清單中正確地選擇了「你在何處遇見未來的另一半？」這個問題，然後試過一些 “Wasilla High School” 的不同表示方式之後，最後成功猜出 “Wasilla high” 這個答案。