現代生活大部分活動都可以使用網路取代實體,從金融帳戶、購物網站到社群平台,幾乎每個人都擁有至少幾十個帳號,而且各個帳號都需要一組密碼;為了方便,很多人會重複使用相同的簡單密碼組合,但只要某個帳號被駭客破解,駭客就能藉此取得密碼,如同骨牌效應一般,其他有相同密碼的帳戶將無一倖免,造成巨大損失。
美國身分竊盜資源中心(Identity Theft Resource Center,ITRC)總裁暨執行長Eva Velasquez表示,現在許多駭客並不是靠入侵電腦系統,而是透過要求用戶提供密碼或雙重驗證代碼的方式來竊取帳戶資料。根據基因技術公司23andMe報告,因為許多人重複使用密碼,平均一個駭客能藉此盜用多達1萬4千個帳戶,並有約690萬用戶的資訊因而曝光。我們應該如何確保自己的資安?
安裝密碼管理員,並根據建議更新帳戶密碼
現代人大多有幾十個帳號,要為這些帳號設計獨一無二且足夠複雜的密碼並不容易,因此《華爾街日報》建議,讀者不妨使用「密碼管理員」工具,它能為每個帳號創造獨特且結構較強的密碼,提高帳戶安全性,並能自動記住密碼,讓使用者輕鬆登入各個帳號。另外,密碼管理員還有密碼檢查功能,若密碼洩漏,系統會自動提醒用戶更換密碼。
密碼管理員通常有免費跟付費兩種版本。免費的密碼管理員包含Google Password Manager和iCloud Keychain,它們都是行動裝置內建的服務,但前者只適用於Android和Chrome平台,後者則適用於蘋果裝置和Safari。使用者也可以安裝Bitwarden,它也是免費的密碼管理員,但是可以付費升級服務。至於付費版密碼管理員,則有NordPass、1Password、Keeper Security、LastPass、Dashlane可供選擇。
安裝密碼管理員後,它能協助識別所有已經外洩、重複使用和安全性較低的密碼,使用者就可以根據建議更新密碼。要注意的是,使用者也必須為密碼管理員設定密碼,但是密碼管理員的資料庫使用零知識架構(zero-knowledge architecture)加密技術,代表此帳戶密碼並不儲存在軟體公司的伺服器上,雖然駭客無法存取密碼,但如果使用者忘記密碼就找不回來了。所以必須想一個夠複雜但又好記的管理員帳戶密碼,而使用者可以用Bitwarden的免費工具檢測密碼強度。
使用安全性金鑰雙重驗證,沒有實體裝置就不能登入
安裝密碼管理員,並根據建議更新帳戶密碼後,下一步就是設定雙重驗證,以建立第二層登入安全防護機制。最基本的雙重驗證是透過簡訊(SMS)傳輸驗證碼,但駭客可以竊取手機號碼並導引驗證碼,因此安全性金鑰是更安全的雙重驗證方法。 (相關報導: iPhone用戶注意了!新詐騙手法現蹤,偷Face ID駭進銀行騙光你錢 | 更多文章 )
安全性金鑰看起來很像隨身碟,是一種雙重驗證的小型硬體裝置,透過實體連接裝置授權登入。當任何人使用不受信任的裝置嘗試登入帳號,就算已經輸入正確密碼,系統還會要求對方用安全性金鑰,若對方沒有金鑰就不能登入。也就是說,擁有實體安全性金鑰的使用者才能登入。
