※ 引述《MeepokC (歹夢盜者)》之銘言： : 話說，今天早上一大早起來準備要收gmail， : 沒想到反而是顯示要重新設定密碼跟手機號碼認證， : 設定好新的密碼後，進入收信夾才知道，原來gmail被駭了， : 在今日凌晨五點多的時候，瘋狂的發信～雖然看起來都是被退件， : 但是心裡還是覺得很悶。~"~ : 同時提醒版友，沒事有事定期更換密碼吧！ : 同時發文在Mobile01上，也附上圖（有圖有證據）。 : http://www.mobile01.com/topicdetail.php?f=481&t=2089820&last=26964580 借這篇文章，聊一下最近常在朋友圈中看到的狀況。 現在註冊網站的服務，都會要 email 認證。 多數人，在該網站的登入密碼，會跟登入 email 的密碼一樣。 簡單講，去 www.foo.com 註冊新帳號，帳號是 account，密碼是 password，接著 www.foo.com 跟你要 email 信箱認證，你告訴他是 [email protected]。 如果你的 [email protected] 的登入密碼，也是 password！ 那麼你註冊的一大堆網站裡面，只要有一個網站內控不好，他就可以用你的「密碼」 和「[email protected]」，登入你的 gmail 信箱、facebook、噗浪 ...... 有些網站可以用 openID 的方式登入，那它就不需要知道你的密碼，相對安全一些。 登入一個新網站後，最後用一下「忘記密碼」的功能，如果該網站可以把原始密碼 回覆給你，代表該網站是用明碼儲存使用者密碼，非常危險。 或者不要那麼辛苦，跑去偷資料庫的密碼，現在智慧手機很流行，大家都愛亂連來 路不明的 wifi 熱點，只要自己架一個不用密碼的 wifi 熱點，就可以搜集到一大 堆帳號跟密碼了。 這樣也太辛苦，再簡單一點，找個人多的地方，用個收聽 wifi 的儀器，就可以聽 到一大堆沒有加密傳輸的 wifi 訊號，裡面一樣一大堆帳號密碼。 不是針對原 po，只是這樣的狀況絕非罕見。 ===== 回到 Google 點。 Google 街景車大街小巷跑一圈，收集 wifi 訊號，目的應該是要做定位的服務，結 果一撈就順便撈到一大堆帳號跟密碼，不知道要怪 Google 的耳朵太好，還是講悄悄 話的人音量太大了。 然後從中國民運人士的 Gmail 事件之後，Google 就很認真的把旗下服務都加上了 https，至少可以避免帳號、密碼被聽到。 ===== 常常改密碼，其實並不見得是好方法，會怕忘記新密碼，到後來密碼會愈來愈簡單。 建議的方法是，要把密碼分級。 例如：最重要的密碼、很重要的密碼、重要的密碼、不怎麼重要的密碼、不需要密碼的密碼。 對我來說，「最重要的密碼」是公司一堆 server 的密碼，那些密碼只會用在 server 上面，其他地方絕對不會出現。 「很重要的密碼」是 gmail 的密碼，常常會用到，所以不能太難記。 「重要的密碼」，例如 facebook、plurk。 「不怎麼重要的密碼」，例如 ptt、pchome shopping 之類。 「不需要密碼的密碼」，就忽然出現，需要註冊的網站，都先放這個 level。 這樣可以控管「當密碼不幸外洩」時，災害可能會發生在哪邊。 ===== 再回到 Google。 如果你有用智慧手機的話，可以到 Google Accounts 打開「使用兩步驟驗證」，當從 陌生的電腦登入你 Google 帳戶時，會要求你從手機上的 Google Authenticator 確認 密碼。 詳情可以看 http://goo.gl/N9czE 。 如果你的 Google Accounts 看不到「使用兩步驟驗證」，把 URL 改成 https://www.google.com/accounts/ManageAccount?hl=en 就可以看到「Using 2-step verification」。 似乎不是所有帳號都可以看到這東西。 ===== 大家對網路的依賴愈來愈深，所以資訊安全也該好好推廣了。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.192.213.77 ※ 編輯: KC73 來自: 123.192.213.77 (04/04 17:47) ※ 編輯: KC73 來自: 123.192.213.77 (04/05 00:25)