Pazu 薯伯伯

Pazu 薯伯伯

旅遊寫作人,為最早一批在網上連載遊記的香港人,多年來足迹遍佈歐、亞多國,在喜馬拉雅山麓、東南亞、南亞等地區生活。著有《風轉西藏》、《北韓迷宮》、《西藏西人西事》及《不正常旅行研究所》,分別在香港、北京及首爾出版。作者 Facebook:https://www.fb.com/pazukong;網誌:https://pazu.com/blog;Pazu 兒歌網:https://www.pazu.com;相集:https://www.instagram.com/pazu;Patreon 頻道:https://www.patreon.com/pazu

2020/7/16 - 13:49

零基資安訓練營(十三):如何知道帳號的密碼有沒有外洩?

資料圖片,來源:Morning Brew @ Unsplash

資料圖片,來源:Morning Brew @ Unsplash

有朋友說他用 Google 帳號,但戶口還是被盜了,然後嘆道:「不是說 Google 的保安很高嗎,為何仍然被入侵?」其實不一定是 Google 的問題,而是其他網站被入侵。

舉個例子,你在所有網站都使用類似或甚至一式一樣的密碼,Gmail 的密碼是 Abcde$12345,Facebook 的登入也是 Abcde$12345,而 LinkedIn 的密碼也是 Abcde$12345。那麼只要其中一個網站出事,你的密碼便會洩漏。

在 2012 年,650 萬個 LinkedIn 帳號密碼被盜,雖然事隔多年,但估計仍然有不少人用同密碼。縱然 Google 及 Facebook 在維護保安的情況(可能)較高,但 LinkedIn 卻拖了後腳,成了所謂的「罩門」,即身上的死穴。

廣告

我們可以用這個方法查詢自己的登入有沒有曾被入侵,這個網站是由 Mozilla 基金會(Firefox)設置,使用 1Password 提供的資料庫,算是比較可靠的背景。特別要這樣說的原因,是如果有些網站聲稱可以幫你查證帳戶有否被入侵,必須要極為小心,不要隨便輸入電郵。

Mozilla 基金會(Firefox)設立的 Firefox Monitor:https://monitor.firefox.com

進入網址後,輸入自己的電郵地址,
不用選擇 Stay safe 一欄,
按「Check for Breaches」。

稍等一會,便能看到結果,結果只會顯示曾用該電郵地址登錄過的網站,而不會顯示你的密碼。

你用同一電郵地址登記過的網站,有多少個戶口曾經入侵?

那麼如何修補這個漏洞?

一,啟用二步認證。
二,使用密碼管理器。
三,使用一個非公開的電郵地址做網站的登記。

以上步驟所花時間,有長有短,但以「二步認證」的效益最高,所以必須為主要的戶口先設置二步認證。之後學習使用密碼管理器,以及重設所有網站的密碼。這個過程就相對考人耐性,我有一位很堅忍的朋友,花了兩天時間,修改了 95 個網站的登入資料。最好是把新註冊(及舊有註冊)的網站帳號,改用一個全新並且非公開的電郵地址,密碼不用自己思前想後了,乾脆用管理器隨機生成一個便可以

 

零基資安訓練營系列

作者 Facebook  / Patreon