看板 - 閱讀文章

您現在的位置是 Google - 。
^ 返回文章列表 | < 前一篇 | 下一篇 >

作者: KC73 (肯先生) 看板: Google
標題: Re: [問題] gmail被駭？
時間: Mon Apr  4 11:03:42 2011

※ 引述《MeepokC (歹夢盜者)》之銘言：
: 話說，今天早上一大早起來準備要收gmail，
: 沒想到反而是顯示要重新設定密碼跟手機號碼認證，
: 設定好新的密碼後，進入收信夾才知道，原來gmail被駭了，
: 在今日凌晨五點多的時候，瘋狂的發信∼雖然看起來都是被退件，
: 但是心裡還是覺得很悶。~"~
: 同時提醒版友，沒事有事定期更換密碼吧！
: 同時發文在Mobile01上，也附上圖（有圖有證據）。
: http://www.mobile01.com/topicdetail.php?f=481&t=2089820&last=26964580


借這篇文章，聊一下最近常在朋友圈中看到的狀況。

現在註冊網站的服務，都會要 email 認證。

多數人，在該網站的登入密碼，會跟登入 email 的密碼一樣。

簡單講，去 www.foo.com 註冊新帳號，帳號是 account，密碼是 password，接著
www.foo.com 跟你要 email 信箱認證，你告訴他是 foo@gmail.com。

如果你的 foo@gmail.com 的登入密碼，也是 password！

那麼你註冊的一大堆網站裡面，只要有一個網站內控不好，他就可以用你的「密碼」
和「foo@gmail.com」，登入你的 gmail 信箱、facebook、噗浪 ......

有些網站可以用 openID 的方式登入，那它就不需要知道你的密碼，相對安全一些。

登入一個新網站後，最後用一下「忘記密碼」的功能，如果該網站可以把原始密碼
回覆給你，代表該網站是用明碼儲存使用者密碼，非常危險。

或者不要那麼辛苦，跑去偷資料庫的密碼，現在智慧手機很流行，大家都愛亂連來
路不明的 wifi 熱點，只要自己架一個不用密碼的 wifi 熱點，就可以搜集到一大
堆帳號跟密碼了。

這樣也太辛苦，再簡單一點，找個人多的地方，用個收聽 wifi 的儀器，就可以聽
到一大堆沒有加密傳輸的 wifi 訊號，裡面一樣一大堆帳號密碼。

不是針對原 po，只是這樣的狀況絕非罕見。

=====

回到 Google 點。

Google 街景車大街小巷跑一圈，收集 wifi 訊號，目的應該是要做定位的服務，結
果一撈就順便撈到一大堆帳號跟密碼，不知道要怪 Google 的耳朵太好，還是講悄悄
話的人音量太大了。

然後從中國民運人士的 Gmail 事件之後，Google 就很認真的把旗下服務都加上了
https，至少可以避免帳號、密碼被聽到。

=====

常常改密碼，其實並不見得是好方法，會怕忘記新密碼，到後來密碼會愈來愈簡單。

建議的方法是，要把密碼分級。

例如：最重要的密碼、很重要的密碼、重要的密碼、不怎麼重要的密碼、不需要密碼的密碼。

對我來說，「最重要的密碼」是公司一堆 server 的密碼，那些密碼只會用在 server
上面，其他地方絕對不會出現。

「很重要的密碼」是 gmail 的密碼，常常會用到，所以不能太難記。

「重要的密碼」，例如 facebook、plurk。

「不怎麼重要的密碼」，例如 ptt、pchome shopping 之類。

「不需要密碼的密碼」，就忽然出現，需要註冊的網站，都先放這個 level。

這樣可以控管「當密碼不幸外洩」時，災害可能會發生在哪邊。

=====

再回到 Google。

如果你有用智慧手機的話，可以到 Google Accounts 打開「使用兩步驟驗證」，當從
陌生的電腦登入你 Google 帳戶時，會要求你從手機上的 Google Authenticator 確認
密碼。

詳情可以看 http://goo.gl/N9czE 。

如果你的 Google Accounts 看不到「使用兩步驟驗證」，把 URL 改成

https://www.google.com/accounts/ManageAccount?hl=en

就可以看到「Using 2-step verification」。

似乎不是所有帳號都可以看到這東西。

=====

大家對網路的依賴愈來愈深，所以資訊安全也該好好推廣了。


--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 123.192.213.77
推 sbin:超讚的推廣                                                 04/04 11:38
推 Zakka:實用!                                                     04/04 12:20
推 librawind:推,實用!                                              04/04 12:23
推 sbin:如果那功能能提供中文的話，應該會更多人用                   04/04 12:53
推 marines7:兩步驟那功能台灣可以用嗎?                              04/04 14:18
推 jtmh:不嫌麻煩的話可以考慮使用把密碼配合關鍵字來產生另一組 hash  04/04 14:24
→ jtmh:密碼的工具，這樣不但密碼更不易破，也有一定規則可循，更可   04/04 14:26
→ jtmh:一網站一獨立密碼。                                         04/04 14:27
推 MeepokC:謝謝回覆。^^                                            04/04 16:05
→ KC73:兩步驟台灣可以用，只是沒有中文說明。                       04/04 17:46
※ 編輯: KC73            來自: 123.192.213.77       (04/04 17:47)
→ KC73:更正一下「兩步驟」的說明網址                               04/04 17:47
→ KC73:提供一個密碼的取法，注音+數字，例如 -6wj/6ru,644           04/04 17:51
→ KC73:這密碼是用注音敲「兒童節」，加上 44 (四月四日)             04/04 17:52
推 andy199113:專業優質文章！好文！！                               04/04 19:18
推 s25g5d4:我目前是分成三層 一個是有金流的 一個是gmail MSN級       04/04 19:31
→ s25g5d4:一個是論壇等的簡單密碼                                  04/04 19:32
推 malindorothy:推! 我從以前就跟你用一樣的密碼管理方式 不過我沒有  04/04 20:39
→ malindorothy:最重要的密碼 最高層級只到很重要 因為我最高只用到   04/04 20:40
→ malindorothy:Gmail XD                                           04/04 20:40
推 kyle0478:推這篇實用 周遭很多人對於這方面的知識還是非常不足啊    04/04 20:43
推 eromoot:長知識..                                                04/04 22:00
※ 編輯: KC73            來自: 123.192.213.77       (04/05 00:25)
→ KC73:補充「使用兩步驟驗證」的內容。                             04/05 00:25
推 loveSETSUNA:本人密碼雖然分級但只是2種然後分別多2.3碼之類的...   04/05 02:41
推 AFIAC:推                                                        04/05 04:02
推 semicoma:我是努力把所有會用到的電腦都灌lastpass                 04/05 08:38
推 decorum:pchome shopping也很重要呀 被盜用了 容易惹上詐欺官司     04/05 13:14
推 LFD:推 我也這樣分級 不過我分8級                                 04/05 18:03
推 bradhu:我也是這樣做！好險gmail被盜的是我備用帳號                04/05 19:07
推 baoo:我用密碼字數來分，簡單的6碼，一般的8碼，重要的用10或12碼   04/06 11:20
推 cory8249:長知識 ~                                               04/06 14:42
推 abram:我也是這樣分級  另一個小技巧: 最高級的密碼可以加入空白    04/07 05:34
→ abram:一般駭客軟體會假設密碼沒有空白字元  Hotmail就不允許空白   04/07 05:35
→ abram:但是我試驗過 Gmail允許密碼含空白字元  相當於passphrase    04/07 05:37
→ abram:基本上 這代表this is a book比4592ji9j90wj@34u9u9難破解    04/07 05:38
→ abram:但卻更好記憶喔                                            04/07 05:38
推 tyb:可以借來推廣嗎？                                            04/07 08:52
推 bob20228:不好意思，剛才按照兩步驟驗證設定好了，但是發生了一個   04/07 08:54
→ bob20228:一個問題，我可以順利登入Google直接相關的服務例如gmail  04/07 08:55
→ bob20228:，但是使用Google帳號登入的服務卻不行了，手機原本用來   04/07 08:56
→ bob20228:收發gmail的信箱也顯示密碼錯誤，請問該如何處理？        04/07 08:57
→ bob20228:我指的使用Google帳號登入的服務例如像imo.im             04/07 08:58
→ KC73:試試看 Application-specific passwords                      04/07 09:06
→ KC73:http://goo.gl/vhFRN                                        04/07 09:07
推 bob20228:謝謝K大，這方法可以成功登入，可是如果我還是想要用我    04/07 09:16
→ bob20228:的Google密碼登入呢？因為新產生的密碼無法記憶，每次都   04/07 09:17
→ bob20228:回到管理密碼那頁去複製也是麻煩！                       04/07 09:18
推 bob20228:也就是說要如何加入到圖中的清單中呢http://goo.gl/x7JNr  04/07 09:24
→ KC73:他就是不要你用原本的密碼去登入，才這樣繞一圈。             04/07 09:25
推 howar31:推分級密碼 我個人就是這樣 最重要的密碼英數符空混合而且  04/07 13:41
→ howar31:長度高達2x字元...XD  分級比較好用~~                     04/07 13:42
推 ylok:話說蒐集密碼如果用SSL或SSH連線的話 帳密就不會是明文        04/25 02:49
→ ylok:不過大多人連BBS也沒有在用SSH的 所以這就有可能被盜          04/25 02:49
→ ylok:其他方便像FB就記得連線改HTTPS這樣帳密就不會明文            04/25 02:50

你現在看到的首頁 Layout 是修改自 Mozilla.org 的首頁，原始樣板由 Dave Shea 所製作。