前幾天無預警收到 Dropbox 郵件,表示從 2012 年中起若從未更新過密碼,下次登入時系統將提示更新,並強調這只是預防性措施。這一切其實都跟最近爆發的 Dropbox 帳密外洩事件有關。若你從 2012 年以前就開始使用 Dropbox,那麼你有非常大的機率在這波受害名單內,假設密碼又從沒更換,這組密碼可能已經不夠安全了。
2012 年 Dropbox 發生過重大安全事件,起初是收到許多使用者反映用於 Dropbox 的信箱地址收到大量垃圾郵件,調查後發現連 Dropbox 員工帳號也在洩漏名單中,後來確認伺服器確實遭駭且有部分帳號密碼外流,雖然緊急要求使用者更改密碼,但這事卻未因此落幕。
近期 Troy Hunt(也就是 Have I been pwned? 網站創辦人)發表一篇文章「The Dropbox hack is real」證實 Dropbox 遭駭且一共高達 6800 萬組帳號密碼外流!他透過某些管道取得這份密碼檔後隨即驗證了檔案真實性,除了發現自己的帳號可以反向演算出原密碼,連他太太使用 1Password 密碼管理工具隨機產生的高複雜度密碼也無法倖免。
最嚴重的問題不只有密碼外流,而是加密方式已遭破解,可以反解找出原密碼。
因此,如果你在這幾天收到 Dropbox 郵件通知提醒你應更換密碼,表示你的密碼極可能在此次安全事件被外流,若你從 2012 年就沒有更換密碼,或者在其他服務上使用相同密碼,最安全的方法是趕緊將這些密碼通通換掉。因為其他人若取得這份密碼檔,就有可能反向找出你的真實密碼並存取你的其他網路服務,非常危險!
以下我會就三個你應該立即做的事來切入這個事件,請讀者務必確實檢查帳號安全。
1. 檢查自己的 Email 是否在外流名單
開啟 Have I been pwned? 網站後,輸入你用於 Dropbox 的 Email 地址。這次事件主要外流的部分為 Email 和密碼檔,更多詳細說明可在這裡找到。遭駭外流的網路服務越來越多,因此你也可以輸入自己的使用者名稱(帳號)來看看是不是有被其他事件波及。
如果出現如下的綠色訊息,恭喜你!顯示「Good news — no pwnage found!」代表你的帳號沒有在任何外流的文件中被找到。
假如出現如下的紅色畫面,顯示「Oh no — pwned!」訊息的話,表示在被駭客入侵外流文件中找到你的 Email 或帳號等資訊。其中若有 Dropbox 代表你的密碼可能已被取得,甚至會影響到你其他服務的安全(使用相同密碼的話)。
2. 立即更新密碼,在不同服務使用不同密碼組合
無論你是否在此次 Dropbox 密碼外流事件中受害,其實密碼都不會是永遠安全的,定期更換密碼或者建立更複雜、更強的密碼組合或許能夠有效提高帳號安全性。
我的經驗是不在每個服務中使用相同的密碼組合,避免當中可能有服務遭駭客入侵或資料被有心人士竊取而影響到你的其他服務安全。但使用者不可能記得這麼多不同的密碼,因此有密碼管理器能夠協助你管理密碼,建立更強大安全的隨機密碼。
- KeePass Password Safe 安全、簡單的帳號密碼管理工具
- Master Password 忘掉你的密碼吧!超簡單、聰明的跨平台密碼產生器
- Salty.PW 讓你的密碼管理更簡單!以主密碼搭配網站名稱「調製」隨機密碼組合
3. 啟用兩階段驗證防護,目前最安全的方法
最後,我還是想再提醒一下,請務必將「兩階段驗證」防護功能開啟!現在大部分的主流網路服務都已支援兩步驟驗證,也就是利用 Google Authenticator 來產生隨機安全代碼或者以手機簡訊來接收登入代碼。
簡單來說,在現有的密碼保護以外再加上一層防護網。
雖然登入時可能會需要進行驗證而些許費時,但兩階段驗證開啟後除非被對方取得你的手機或電子郵件信箱存取權限,否則幾乎是不可能繞過驗證步驟存取你的帳號。這也是目前我認為最安全、最有效保護帳號的方法。設定方法請參考以下文章教學:
總結
沒有任何一個防護方式是 100% 安全的,即使使用超複雜密碼,也只是增加破解難度和時間而已,不過我們可以做的是增加更多安全知識,例如使用正確的工具來產生、管理各項服務密碼,開啟兩階段步驟驗證或許是現階段可以使用的最佳防護方法。
希望這篇短文教學可以提醒使用者檢查自己的帳號安全,如果發現自己的帳號不幸在外流名單,別緊張,照著前面的步驟做應該就沒問題了!