日前看到國內外新聞紛紛報導,有安全公司揭發了一個竊盜約 200 萬組大小網站密碼的案件,這些被竊的用戶密碼裡以 Facebook、 Google、 Yahoo 和 Twitter 為大宗。至於盜竊的方法,可能是利用植入用戶個人電腦中的惡意軟體,來紀錄你的密碼輸入。要注意,這僅僅只是各式各樣和雲端帳號安全有關的案件之一。
其實,在我們的日常生活中,應該也常常看到類似這樣臉書帳號被盜用的案例,也有許多新聞報導提到像是釣魚網站、駭客入侵等等事件,似乎無時無刻都有帳密被盜的事件發生。雲端服務只要用「帳號」和「密碼」就能在任何電腦登入使用,也讓一旦帳密被竊取後,風險加大。
而且帳密被盜和是否使用複雜的密碼沒有絕對關係,如果透過釣魚網站、廣告詐騙、惡意軟體偷盜你的密碼,那麼密碼多複雜也一樣立刻被他人獲取。唯一可能比較有幫助的,就是盡量每個網站使用不同的帳號密碼,以免擴散影響,可是這其實對一般用戶來說,難度也很大(但願意認真研究的朋友,歡迎試試看「 KeePass 」這類軟體)。
● 無法「完全」阻止帳密被盜,但可以阻止被登入帳號:
即使我們有很好的使用觀念、有安裝防毒軟體,不在公共無線網路區域隨意上網,但是,人難免有粗心意外的時候,在帳密安全上,一旦失足一次就真的可能是千古的遺恨,而且連我都不敢說我一定每一次都那麼小心不會誤載、誤點惡意軟體。
但也不是沒有解套的好辦法,那就是使用重點雲端服務都有提供的「帳號兩步驟驗證」機制。
「帳號兩步驟驗證」,就是當我要在「一台新的電腦」登入網站時,先輸入我的帳號密碼,正確後還不能馬上登入,必須透過裝著只有自己擁有的 SIM 卡的手機,接收一個簡訊或 App 提供的「第二步驗證碼」,當第二步也通過後,才能登入網站。
這個安全步驟,就讓前面的密碼被盜失效,因為沒有人可以在一台新的電腦登入我的帳號,除非他同時偷到我手上的這台手機。這也讓我在中毒、被盜後,有足夠的時間重新修改密碼。
| [](http://2.bp.blogspot.com/-CdQeOQZOHTM/UqADPi86kDI/AAAAAAADIVs/eYysQhVC4Gk/s1600/account-01.png) |
| 例如在一台新電腦登入 Evernote,首先當然是要輸入自己的帳號密碼。 |
| [](http://4.bp.blogspot.com/-VdBEbmswFZI/UqADP0L8qnI/AAAAAAADIV0/3okiovwlkU0/s1600/account-02.png) |
| 但是通過後,還需要第二步驗證,也就是只有你自己手上手機可以收到的代碼,這樣就保護了你的帳號安全。 |
| [](http://4.bp.blogspot.com/-8qe_ktbw8qE/UqADPyCZEOI/AAAAAAADIWA/jEtecbUbm-I/s1600/account-03.png) |
| 兩步驟驗證的代碼,可以用簡訊收,也可以用手機上可以安裝的 Google Authenticator 產生,無論哪一種,都「只有你這台手機可以收到」。而且代碼隨時變化,無法被盜取。 |
● 雲端服務的安全,不再只是保管複雜密碼而已:
但是在我於各種場合分享雲端服務的應用時,我總會問在場的朋友,有誰有在使用「帳號兩步驟驗證」?
通常這個比例都非常低,就算是在面對應該更習慣使用科技工具的朋友時,也很少有超過一半以上的人會開啟帳號兩步驟驗證。
沒事,當然都好。可是從各種新聞案件中,可以發現雲端帳號的保護不再只是「保護我自己的帳號密碼」這麼簡單而已,因為真正惡意的手法並不一定要猜你的帳密,而是利用各種社交陷阱來誘使你安裝惡意軟體,這時候,人性讓我覺得很難保證自己會永遠躲開每一次的考驗。
● 保護帳號安全,開啟「兩步驟驗證」沒有那麼麻煩:
不使用「帳號兩步驟驗證」的原因,除了有些朋友是還不知道外,其他朋友則是「怕麻煩」,或是「怕開啟後反而無法登入自己的帳號」。
關於「怕麻煩」這一點,在自己貼身使用的電腦上(例如家裡或辦公室),當第一次需要兩步驟驗證登入時,可以在輸入第二步驗證碼後,讓電腦記住你,這樣以後在貼身電腦上就不用每一次都兩步驟驗證。
| [](http://1.bp.blogspot.com/-ec4u_lNJK_I/UqADTG3yqJI/AAAAAAADIW0/FuERDKfmP40/s1600/account-04.png) |
| 你可以在自己貼身電腦登入時,勾選「記下這台電腦的驗證狀態」,這樣就不用每次都要兩步驟驗證。 |
如果是「怕開啟後反而無法登入自己的帳號」,那麼其實雲端服務在你開啟兩步驟帳號驗證後,都會提供你一組「救命密碼」,每個只能使用一次,你要貼身保管好,這樣以後例如你的手機掉了、換電話號碼結果認證不成功等等,總之在沒有手機的情況下,也可以用這幾個只有你自己知道的「救命密碼」來登入帳號。
關於救命密碼,請參考:開啟帳號防盜兩步驟驗證結果無法登入?備援方法教學
● 怎麼開啟各大雲端服務的帳號兩步驟驗證,最簡單教學:
如果你一切尚未開始,但真的覺得應該來試試看帳號兩步驟驗證,讓自己的雲端使用安全也安心的話,下面我提供最快入手的方法。
1. Google 帳號要開啟兩步驟驗證,只要進入「帳號安全性頁面」,進行開啟即可,每一步驟都會有詳細解說,教你怎麼設定,建議第一次使用的朋友一定要好好看一遍。
或者延伸參考:啟動 Google帳戶 兩步驟驗證功能,中文版安全自保流程教學
2. 使用 Facebook 的朋友要開啟帳號兩步驟驗證,只要進入「帳號設定」的「帳號保安」,找到「登入許可」項目並勾選要求安全密碼即可,也有中文的詳細步驟解說。
或者歡迎延伸參考:Facebook帳號保安的手機簡訊認證教學,開啟登入許可雙重驗證
3. Evernote 用戶則是登入網頁版,在右上方進入帳號設定,在「安全性摘要」頁面就可以開啟「兩步驟驗證」。
當然也可以參考我寫過得詳細教學:Evernote 開始新增帳戶兩步驟驗證登入,保護筆記安全
4. Dropbox 一樣有帳號兩步驟驗證,登入 Dropbox 網頁版,從右上方進入帳號設定,在「安全性頁面」中,啟動兩步驟驗證即可。
也歡迎參考我寫過的詳細教學:Dropbox 兩步驗證帳號安全功能推出!搶先實際測試心得
5. 微軟的 SkyDrive、 Office Web 等雲端服務愈做愈好,我們一樣要注意微軟雲端服務的帳號安全,在登入帳戶設定後,在「安全性資訊」頁面就能開啟兩步驟驗證。
詳細說明也可以參考我的教學:Microsoft 帳戶兩步驟驗證教學,保護 Skype 等帳號安全
6. 其實, Yahoo 帳號也可以在帳號設定中開啟「二次登入驗證」。
在這樣的網路時代裡,如果你有使用上述的雲端服務,並且認為這些服務對你來說夠重要,那麼保護安全的「目前最好可行辦法」,就是開啟兩步驟驗證。
