返回列表 發帖

[公告] 請各位務必在每間網站都使用不同的密碼

近日帳號盜用的現象突然猖獗起來,各大論壇都有受害。我們論壇因為沒什麼會員專屬福利,所以盜取帳號的人只是改改密碼就走了。其它論壇不少是付費 VIP 被盜,然後每天下載檔案的額度就被偷走了。

駭客取得各位密碼的方式在這十幾年來方法都始終如一,就是去四處入侵有安全漏洞的網站,然後竄改註冊和登入頁面的程式碼。這樣一來,在各位把自己的帳號密碼送到網站上的時候,他們也同時可以獲得一份複本。經過長年的收集,對岸的駭客之間甚至有了所謂「社工庫」的存在,那裡面會記錄哪個 ID 或者 e-mail 使用過哪些密碼,而有心的駭客會利用它們來製作一份清單,透過跳板不斷更換 IP 在各大網站嘗試登入清單上所有的帳號密碼。我經手的網站也常發生每秒就有 30 個不同 IP 來試登帳號,由於每次使用的 IP 都不同,所以傳統同 IP 登入幾次就暫時封鎖該 IP 的做法也無效 (現代網站為了防止這種嘗試,都會要求在登入時額外輸入一個圖形驗證碼,未來本站的論壇系統升級後也會有這功能)。經過網路封包分析的結果,很明顯可以觀察到他們不是採用傳統字典檔的暴力嘗試法,而是彷彿知道這個 ID 一定會用哪些密碼一樣來進行次數極少的嘗試,而且通常是第一次就登入成功 (表示這個人在所有網站都使用一樣的帳號跟密碼)。因此我還是得加強宣導一下,請各位不要在每間網站都使用完全一模一樣的帳密。在網路上註冊和登入帳號要有一個觀念,就是你正在註冊或登入的網站可能已經被人入侵,因此登入和註冊的網頁可能已經被有心人士埋下後門,當你送出帳號密碼的同時,這個帳號密碼也會同時被傳送至有心人士的伺服器記錄。因此只要一組帳號密碼曾經用在一間網站,那麼它就不能被用在另一間網站了。最嚴重的情況是,註冊帳號所使用的信箱也用了一樣的密碼,這樣駭客就可以登入你的信箱,而能用你的信箱收信就意味著可以進一步查詢你註冊過什麼網站,將那些網站的帳號一併收入囊中。加上大部分的網站修改個人資料都是透過郵寄驗證連結的方式來做保護,因此當你信箱被駭客成功登入的話,他們可以不但可以使用找回密碼功能重新設定你各個網站帳號的密碼,還能更進一步修改你帳號的信箱等資料,永久將你的帳號據為己有。

實際上在各網站使用不同的密碼並沒有想像中的難以做到,即使不依賴軟體或紙本,依然有很多人可以根據各網站名稱等特徵,在帳號名稱或密碼的部分加上一些專屬於該網站的文字,當然這還是很容易猜中。在十幾年前外國就已經流行使用密碼管理軟體 (Password Manager) 來產生密碼,以便在各網站中使用完全獨立唯一的密碼。這種軟體通常會有一個主密碼 (Master Password) 對資料檔上鎖,除此之外也能額外附加其它解鎖條件來增加安全性。如果是對於用手機登入網站有需求的,可以找找看能透過 Dropbox 同步,然後同時有桌機跟手機版本的密碼管理軟體。我個人在電腦是使用 KeePass,雖然它的手機版本功能比較陽春,但我本身不是對手機逛網站很講究,所以能用就好,至少免費。如果想找找這類軟體,Google 搜尋「密碼管理軟體」,或者你英文不錯的話可以直接搜尋「Password Manager」,能找到不少其它的。

有些人會質疑,這類軟體的缺點是如果電腦中了會記錄鍵盤輸入文字的木馬程式,那麼主密碼也同時會被駭客得知,因此就會讓自己所有的帳號密碼都遭竊。但這並不是這類軟體的弱點,而是電腦使用習慣不正確,特別是連最基本的防毒軟體都沒安裝所造成的。而且如果電腦真的中了這種木馬,就算沒有使用密碼管理軟體,實際上也早就等於所有帳號密碼都被偷走了,因為你在自己電腦上輸入的所有帳號密碼原本就會被傳送給駭客收集起來,這是很簡單的邏輯問題。各位唯一要做到的就是想一個全世界只有自己一個人才知道的主密碼去保護密碼資料檔,它要複雜到不可能被任何人猜到,可是對你而言又不可能忘記,想出一個這種密碼來保護自己的密碼資料檔之後,就可以完全交給密碼管理軟體幫你記住所有密碼了 (當然,請勤於備份資料檔,由於它是被你主密碼加密過的,將它同步到雲端空間上也不會有什麼問題)。由於破解密碼管理軟體加密起來的密碼資料檔依然是現代數學及電腦科學界的世紀難題,在真正的量子電腦及相關技術普及於世上之前 (大概還要數百年甚至千年後) 是不可能在各位有生之年破解出來的,所以只要主密碼夠安全,各位並不需要擔心有不用知道密碼又可以破解的方法存在。

以動漫基地管理員的立場來說,其實我只要公告說「請各位修改自己的密碼,且務必讓這組新密碼和其它所有地方用過的密碼都不相同」就能了事,畢竟只要不造成我的麻煩,事情就可以當成沒發生。但我還是決定讓各位明白現在的駭客到底是怎麼竊取帳密的,以及防範的方法是什麼,讓有心要改善自己帳號安全但不知道方法的人有一個正確的方法可以依循。
21

評分人數

(以下文章內容只有威望大於等於 0 的才能瀏覽)

TOP

回復 2# 追羽

去設定改阿

TOP

其實現在這樣真的是防不勝防

光是你在外留的那些電話或是E-MIIL

就不知道會收到多少行銷或詐騙電話= =

更扯的是賴 不認識的都可以傳訊息過來

TOP

我這邊倒是每天三不五時就會看到信箱來通知說有人肖想登入我的Steam...IP位置從中國到我沒看過的國家都有
威然目前看來我似乎沒有什麼權益上的損害(沒突然被亂刷什麼卡或少了什麼),但看了這篇的說名考量到以後的網路使用還是調整一下好了
再次感謝管理員

TOP

難怪我登入一直失敗弄到被鎖QQ
不過這密碼也是10年沒換的老密碼了只剩這邊在用

TOP

密碼加入一堆奇怪的符號都快記不住了XD
手機驗證碼的技術真的不錯
google authenticator我經常用

TOP

這種亂跳ip的反而是個防範的依據

大部份的人ip區段都是在那附近,當某天登入,離上次登入不到24小時,ip從台灣跑去印度,這樣就很值得進行email驗證之類的

信箱這道防線絕對不會可和其它常用的密碼雷同,不然就形同虛設

購物網站也可以選擇不要記錄信用卡資訊
雖然說很懶人,很方便,但也造就被盜很方便,跟免簽名信用卡掉在路上被撿去刷一樣

TOP

返回列表