今天看到国内外新闻纷纷报导,有安全公司揭发了一个窃盗约 200 万组大小网站密码的案件,这些被窃的用户密码里以 Facebook、 Google、 Yahoo 和 Twitter 为大宗。至于盗窃的方法,可能是利用植入用户个人电脑中的恶意软件,来纪录你的密码输入。要注意,这仅仅只是各式各样和云端账号安全有关的案件之一。
其实,在我们的日常生活中,应该也常常看到类似这样脸书账号被盗用的案例,也有许多新闻报导提到像是钓鱼网站、骇客入侵等等事件,似乎无时无刻都有帐密被盗的事件发生。云端服务只要用"账号"和"密码"就能在任何电脑登入使用,也让一旦帐密被窃取后,风险加大。
而且帐密被盗和是否使用复杂的密码没有绝对关系,如果透过钓鱼网站、广告诈骗、恶意软件偷盗你的密码,那么密码多复杂也一样立刻被他人获取。唯一可能比较有帮助的,就是尽量每个网站使用不同的账号密码,以免扩散影响,可是这其实对一般用户来说,难度也很大(但愿意认真研究的朋友,欢迎试试看" KeePass "这类软件)。
- 无法"完全"阻止帐密被盗,但可以阻止被登入账号:
即使我们有很好的使用观念、有安装防毒软件,不在公共无线网络区域随意上网,但是,人难免有粗心意外的时候,在帐密安全上,一旦失足一次就真的可能是千古的遗恨,而且连我都不敢说我一定每一次都那么小心不会误载、误点恶意软件。
但也不是没有解套的好办法,那就是使用重点云端服务都有提供的"账号两步骤验证"机制。
"账号两步骤验证",就是当我要在"一台新的电脑"登入网站时,先输入我的账号密码,正确后还不能马上登入,必须透过装着只有自己拥有的 SIM 卡的手机,接收一个简讯或 App 提供的"第二步验证码",当第二步也通过后,才能登入网站。
这个安全步骤,就让前面的密码被盗失效,因为没有人可以在一台新的电脑登入我的账号,除非他同时偷到我手上的这台手机。这也让我在中毒、被盗后,有足够的时间重新修改密码。
 |
| 例如在一台新电脑登入 Evernote,首先帮然是要输入自己的账号密码。 |
 |
| 但是通过后,还需要第二步验证,也就是只有你自己手上手机可以收到的代码,这样就保护了你的账号安全。 |
 |
| 两步骤验证的代码,可以用简讯收,也可以用手机上可以安装的 Google Authenticator 产生,无论哪一种,都"只有你这台手机可以收到"。而且代码随时变化,无法被盗取。 |
- 云端服务的安全,不再只是保管复杂密码而已:
但是在我于各种场合分享云端服务的应用时,我总会问在场的朋友,有谁有在使用"账号两步骤验证"?
通常这个比例都非常低,就算是在面对应该更习惯使用科技工具的朋友时,也很少有超过一半以上的人会开启账号两步骤验证。
没事,当然都好。可是从各种新闻案件中,可以发现云端账号的保护不再只是"保护我自己的账号密码"这么简单而已,因为真正恶意的手法并不一定要猜你的帐密,而是利用各种社交陷阱来诱使你安装恶意软件,这时候,人性让我觉得很难保证自己会永远躲开每一次的考验。
- 保护账号安全,开启"两步骤验证"没有那么麻烦:
不使用"账号两步骤验证"的原因,除了有些朋友是还不知道外,其他朋友则是"怕麻烦",或是"怕开启后反而无法登入自己的账号"。
关于"怕麻烦"这一点,在自己贴身使用的电脑上(例如家里或办公室),当第一次需要两步骤验证登入时,可以在输入第二步验证码后,让电脑记住你,这样以后在贴身电脑上就不用每一次都两步骤验证。
 |
| 你可以在自己贴身电脑登入时,勾选"记下这台电脑的验证状态",这样就不用每次都要两步骤验证。 |
如果是"怕开启后反而无法登入自己的账号",那么其实云端服务在你开启两步骤账号验证后,都会提供你一组"救命密码",每个只能使用一次,你要贴身保管好,这样以后例如你的手机掉了、换电话号码结果认证不成功等等,总之在没有手机的情况下,也可以用这几个只有你自己知道的"救命密码"来登入账号。
关于救命密码,请参考:开启账号防盗两步骤验证结果无法登入?备援方法教学
- 怎么开启各大云端服务的账号两步骤验证,最简单教学:
如果你一切尚未开始,但真的觉得应该来试试看账号两步骤验证,让自己的云端使用安全也安心的话,下面我提供最快入手的方法。
1. Google 账号要开启两步骤验证,只要进入"账号安全性页面",进行开启即可,每一步骤都会有详细解说,教你怎么设定,建议第一次使用的朋友一定要好好看一遍。
或者延伸参考:启动 Google账户 两步骤验证功能,中文版安全自保流程教学
2. 使用 Facebook 的朋友要开启账号两步骤验证,只要进入"账号设定"的"账号保安",找到"登入许可"项目并勾选要求安全密码即可,也有中文的详细步骤解说。
或者欢迎延伸参考:Facebook账号保安的手机简讯认证教学,开启登入许可双重验证
3. Evernote 用户则是登入网页版,在右上方进入账号设定,在"安全性摘要"页面就可以开启"两步骤验证"。
当然也可以参考我写过得详细教学:Evernote 开始新增账户两步骤验证登入,保护笔记安全
4. Dropbox 一样有账号两步骤验证,登入 Dropbox 网页版,从右上方进入账号设定,在"安全性页面"中,启动两步骤验证即可。
也欢迎参考我写过的详细教学:Dropbox 两步验证账号安全功能推出!抢先实际测试心得
5. 微软的 SkyDrive、 Office Web 等云端服务愈做愈好,我们一样要注意微软云端服务的账号安全,在登入账户设定后,在"安全性资讯"页面就能开启两步骤验证。
详细说明也可以参考我的教学:Microsoft 账户两步骤验证教学,保护 Skype 等账号安全
6. 其实, Yahoo 账号也可以在账号设定中开启"二次登入验证"。
在这样的网络时代里,如果你有使用上述的云端服务,并且认为这些服务对你来说够重要,那么保护安全的"目前最好可行办法",就是开启两步骤验证。
