網路上有個非常有名的網站「Have I been pwned?」,收集歷年歷次被駭客入侵網路服務洩漏出來的個資,只要輸入 Email 就能知道自己有沒有在受害者名單之列,幾年前 Dropbox 曾發生過遭駭客入侵外流 6800 萬組帳號密碼的重大資安事件,使用者也可以透過此網站查找。後來甚至推出 Pwned Passwords 幫你比對自己的密碼有沒有被洩漏到網路上,事實上當年這網站就已經取得流傳於網路上超過三億筆的密碼檔,雖然不一定會直接對使用者造成危害,但不得不說這也是一項非常重要的安全資訊。
但我們總會有疑問:這網站有沒有可能間接收集、取得我們輸入進去查詢的資料?或許就該有個更能讓人信賴的公司企業做擔保,因此 Mozilla 和 Have I beed pwned? 合作,推出一項新服務名為「Firefox Monitor」,使用者一樣在輸入自己的 Email 後就能檢測該信箱有沒有曾經在那一份被駭客入侵服務而外流的 Email 名單中。
Firefox Monitor 的模式其實和 Have I beed pwned? 大同小異,甚至這些資料庫都是由它直接提供,好處是我們終於可以在一個更能被信任的網站上進行這些操作查詢,雖然 Firefox Monitor 只要輸入 Email 就能查找,但對於重視安全性及隱私的用戶來說,也絕對不想要在任何情況下被不知名的人取得這些個人資訊。
Firefox Monitor 會告訴使用者:你的 Email 有沒有曾經出現在某一份外流的名單中,雖然大部分年代久遠,可能你也不是使用相同的密碼組合,但還是可以了解一下自己帳號密碼的安全程度。不過我認為最重要的是在支援「兩步驟驗證(TFA)」服務上開啟此功能,多了一層防護就算密碼外流也不用緊張,間接強化帳號安全性。相關的設定方式我都已經寫過教學主題,需要的朋友可透過右側搜尋框查找文章。
網站名稱:Firefox Monitor
網站鏈結:https://monitor.firefox.com/
使用教學
STEP 1
開啟 Firefox Monitor 網站會告訴你密碼的重要性,事實上密碼在現在已經不是 100% 安全可靠,網站提供一些建議,包括在不同服務使用不同的密碼組合、選擇強度更高的密碼、使用密碼管理器和兩步驟驗證等等,密碼管理器我推薦用 KeePass Password Safe 或不用密碼檔的 Master Password 直接產生密碼。
要如何測試你的 Email 有沒有在任何的資安事件中被竊取外洩呢?在網站中輸入 Email 然後按下 Scan 開始掃描。
STEP 2
如果出現的結果像下圖,顯示 So far, so good 或任何正面的描述,代表你的 Email 或密碼很幸運沒有在任何資安事件中被竊取,可以點選「Sign Up」註冊一下,未來當有新的事件且出現你的 Email,Firefox Monitor 就會第一時間寄送通知給你。
但如果出現的結果如下,代表你的 Email、密碼或其它個資可能在之前幾次被揭露的資安事件中成為受害者,我測試了幾個自己常用的 Email 信箱都有出現問題,當 Email 使用時間一久這類問題很難避免,因此經常更換密碼、使用兩階段驗證都有助於保護帳號安全。
在測試結果中,Firefox Monitor 會告訴使用者你的 Email 曾在那些資安事件中被洩露,包括發生的服務、時間、帳號總數和洩漏的資訊(例如 Email、密碼、IP 位址、性別、使用者名稱和安全問題答案等等)。
STEP 3
Firefox Monitor 另一個功能是可以幫你追蹤你的 Email 有沒有在任何資安事件中遭到外洩或被公開在網路上,點選 Sign Up 填入要監測的電子郵件地址即可,如果不想被打擾,那麼記得不要勾選底下的訂閱 Mozilla 和 Firefox 最新訊息。
註冊後還是要回到信箱,點選 Email 信中的確認鏈結,就算完成 Firefox Monitor 訂閱,未來當你的 Email 因為資安事件而出現在洩漏的名單中,這項服務就會主動通知你。
值得一試的三個理由:
- 由 Mozilla 推出的新服務,檢測使用者資訊有無外洩
- 輸入 Email 查找是否被列在資安事件洩漏的資料庫清單中
- 透過訂閱功能,未來可在發生危害時收到警報通知