Friday, 28 September 2012

預防網路身分遭駭,《WIRED》小撇步確保資訊安全

好萊塢電影《網路上身》描述由珊卓布拉克飾演的電腦程式分析師安琪拉,無意間下載了恐怖組織的相關資料,後來被恐怖分子盯上,並且透過電腦,纂改安琪拉的所有身分。現在,這種好萊塢電影情節,竟然也發生在現實生活中。

駭客設下了社交工程(Social-engineering)的陷阱,從Apple獲得了關鍵資訊,侵入《Wired》撰稿人Mat Honan的數位生活,洗劫他的手提電腦、iPhone和iPad的所有資料,再潛入他的推特和Google帳號,刪除近8年來的所有郵件。

但Honan坦承自己也犯了不少錯誤──包括並未設定至少雙重身分認證、沒有做好資料備份等──才讓駭客有機可趁,導致事情一發不可收拾。

為了避免讓讀者遭遇到類似災難,我們列出了以下步驟,希望能幫你保障自己的網路資料和身份。當然,這些措施並非萬靈丹──如果駭客在你的電腦上,植入了木馬程式,所有的措施也都是枉然──但如果遇到了像Mat Honan的類似情況,至少你知道該怎麼做才能保護自己。

1. 在使用Gmail及其他帳戶時,設定雙重身分認證程序:Gmail和其他相關服務,提供了雙重身分認證方式,即使密碼被盜用,也能保護你的帳戶安全。

當你設定了雙重身分認證之後,會從手機上收到認證碼。因此在登入Gmail時,除了輸入使用者帳號及密碼之外,還必須另行輸入認證碼。此外,你也可以將Google App下載到智慧型手機上,再透過App申請認證碼。詳情請觀看以上影片。

Amazon網路服務及Rackspace雲端服務等,都採用了Google的雙重身份認證程序,用戶可選擇使用或不使用。你也可以透過手機上的Google App,申請認證碼,再登入這些帳戶,使用相關服務。

多了道雙重認證、或利用手機App申請認證碼,使用者也許覺得麻煩,但這也意味著,駭客在竊取了你的密碼後,他們還必須多破解一道程序,才能進入你的資料。但如果你覺得,每次還要先獲得認證碼才能使用帳戶,太過費工的話,你也可以讓Google在30天內(或永遠)記住你的電腦,不過,你必須十分確定,你的電腦絕不會落入壞人手中。

2. 在使用公眾無線網路(Public Wifi)服務時,透過安全套接層協議(SSL)和虛擬私人網路(VPN),從公眾無線網路登入自己的帳號時,切記,一定要使用具有SSL的網頁(https)登入。美國電子邊疆基金會(Electronic Frontier Foundation)的HTTPS Everywhere套件,可強制你使用加密連線,在安全模式下瀏覽支援的網站。另外還有一種更安全的方式,那就是建立VPN保護你的資料,如此一來,可防止你的帳號和密碼,被其他的網路使用者偷窺。最基本的VPN服務,大約每月5塊美金左右,如果你是Mac的使用者,又不常上網,可以試試看TunnelBear。

3. 設定專屬密碼:必須針對不同的帳號,設定不同的密碼。個人電郵、公司電郵、銀行交易帳戶、社群網站和購物網,都應該有各自獨立的專屬密碼。否則,其中的一個網站遭駭之後,你的所有帳號都有可能淪陷──就像過去一年來發生的多起攻擊事件一樣──駭客會利用已到手的帳號和密碼,試著在你可能會使用的網站,進行登入。所以,千萬別讓他們無往不利!

4. 為重要帳號設立複雜的密碼:Honan的帳戶被駭,並不是密碼設定的關係,所以這裡所講的設定程序,只是一般確保網路安全的方式之一。包括我們在內的許多團體,都一直不斷呼籲:密碼組合,必須要八個字元以上,而且必須同時包含英文字母、數字和符號等,例如: Pn3XL!8@H。但儘管如此,每次在破獲駭客集團時,辦案人員都會發現,最常被駭的密碼,竟然都是簡單的「password」或是「abc1234」。

現在市面上有許多軟體,可以幫忙創造出較複雜、但容易記住的密碼,因此,你再也沒有任何藉口,僅使用簡單的密碼。《Wired》員工使用兩套軟體:LastPass和 1Password。此外,網路安全專家Bruce Schneier最愛用老方法,那就是在皮夾裡放一張抄著密碼的小抄,忘了,隨時拿出來看一看。除了字母組合之外,短句組合而成的密碼,也是不錯的選擇,如EveryFineBoyDoesGood,但必須在句子中插入符號或數字,讓駭客不易猜到:如:Every!Fine@Boy%Does8Good。

其實在最理想的狀況之下,只要你不是使用簡單易猜的密碼(如:你的某個紀念日、生日、或「password」或「1234」等),一般網站通常會在發現你多次輸入錯誤的密碼之後,封鎖你的帳號,以防止駭客入侵。不過,仍有許多網站並未盡到己身責任,所以使用者應當隨時留意。

5. 不要連結帳戶:侵入Honan的推特帳戶之後,駭客又連結到他在科技部落格網站Gizmodo的推特帳戶,因為Honan之前是Gizmodo的員工,所以他連結了兩個帳戶,以便在進入自己的推特帳號時,會自動登入Gizmodo。千萬記住,不要連結兩個帳戶,應個別登入。

6. 在回答安全提問時,要富創造力:最常見到的安全提問問題包括:你母親娘家的姓為何?你上哪所高中?不過,相關訊息很容易可以在Google上搜尋到,尤其是名人。所以在回答這些問題時,要非常有創意。例如,如果問題是:你第一輛車是什麼車?答案可以用初戀女友的名字加以取代。或是問到你初戀女友的名字時,你也可以用第一輛車的車型來取代。或是乾脆在答案裡加一些符號進去,如:Ch!evy Ca27maro。

每次在某個網站上遇到安全提問時,都要給一個創意十足的答案,然後儲存在密碼管理員中。

7. 進行系統備份:駭客侵入Honan的電腦之後,把他一歲女兒的照片全都刪除了,這更讓他心痛。尤其是現在的備份服務非常便宜,而且自動備份設定簡單,根本沒有理由不進行備份。

8. 加密及設定密碼保護:為了防止駭客侵入你的資料以及密碼保護裝置,在電腦上進行加密,同時設定密碼加以保護。

9. 使用一次性的信用卡:Honan曾在Amazon網站使用信用卡購物,後來駭客得到了信用卡最後四個數字,再通過身分認證,取得了Honan的Apple資料,因為Honan在Apple上登記的,也是同一個卡號。雖然Apple根本不該用信用卡的最後四個號碼來確認使用者的身分,但如果Honan能在Amazon購物時,使用一次性、用過即丟的信用卡號碼,就能降低號碼被駭的風險。花旗銀行(Citibank)及美國銀行(Bank of America)都有提供一次性信用卡卡號服務,購物金額會直接從你真的信用卡中扣除,藉以防止你的個人資料曝光。

另外,在網路購物時,切記,寧願使用信用卡,也不要使用提款卡扣款。否則如果遇到詐騙集團,很可能提款卡連結的銀行帳戶,會被提領一空。但如果使用信用卡,在發現有疑慮時,可以向信用卡中心提出異議,然後再決定是否付款。



from WIRED.tw http://wired.tw/2012/09/04/how-not-to-become-mat-honan/index.html