今早看到國外的科技媒體報導,有五百萬個 Gmail 的使用者名稱、密碼遭到洩漏,該清單被駭客上傳到俄羅斯的一個比特幣論壇,俄羅斯網站 CNews 隨即報導了這個消息,這份資料包括 Email 及密碼,該組織宣稱約有 60% 的帳號是有效的,也就是有至少三百萬個帳號密碼可能暴露於危險之中。
Google 公司隨後表示使用者的資料安全對 Google 而言至關重要,且沒有證據顯示他們的系統已經被入侵或者攻擊。而這些帳號密碼究竟是從何取得,也有一些網站認為是透過釣魚或偽造網頁所竊取到的資料,這些收集行為可能已長達數年之久。
如果你想確認自己的 Email 帳號密碼有無在這份名單裡,直接從 MEGA 免費空間下載國外網站整理好的 Email 名單,查詢看看你的帳號是否在裡面是一個確認的方法。這份清單一共有 100MB 左右,密碼部分已經被移除(僅剩下 Email 帳號),使用搜尋就能找到你的 Gmail 信箱是否遭到洩漏或外流。
國外也有使用者架設了 Is Leaked? 網站,直接輸入你的 Email 就能知道你的 Gmail 帳號密碼有無外流,如果比對出來你的帳號確實在名單裡,它還會告訴你你的密碼前兩個字元為何,若真的被猜中(或者在其他服務使用相同密碼),建議快去更改密碼吧!
備註:Is Leaked 網站並不會收集任何的 Email 帳號,如果你擔心洩漏了真實的 Email 地址,請使用米字號(***)來隱藏部分的電子郵件地址(最多三個),例如 freegr***@gmail.com,也能比對你的 Email 是否在這份清單裡。
變更你的 Google 密碼
如果經過檢查,發現你的 Email 在這份洩漏的名單裡,那請立即變更你的 Google 密碼。這是最重要的步驟,且可以防止知道你密碼的人登入、使用你的 Google 帳戶。
- 從 Google 網站開啟「安全性」頁面。
- 在密碼欄位後方點選「變更密碼」鏈結。
- 輸入你當前的密碼,然後設定一組全新密碼。
變更密碼後,就能防止其他人使用舊的密碼來存取你的 Google 帳戶,若你在其他服務也使用相同的密碼,記得一併變更,以免其他帳號遭到入侵。
確認你的帳號沒有被入侵
你也許會想知道你的帳號是否已經被其他人登入、使用,尤其當你的 Email 又在這份洩漏的名單裡。請先開啟 Gmail 官方網站,登入 Gmail 信箱後點選信箱底部的「詳細資料」鏈結。
在 Gmail 的活動資訊裡,可以看到你近期的電子郵件帳戶活動情形,以及目前進行中的所有活動資訊,例如登入的瀏覽器、手機、所在位置(IP 來源)、日期時間等等。同時你也能找到一個「登出所有其他工作階段」的按鈕,來阻止其他工作階段來存取你的帳戶。
另外,你也可以登入 Google 帳號,透過「查看所有活動」功能來來查看與你帳戶安全性相關的活動。一旦發現任何不是從你熟悉位置登入的可疑活動,可能表示你的帳號遭竊,請盡快變更密碼。
使用兩步驟驗證來強化帳號安全
最好的方法是使用兩步驟驗證(Two-factor Authentication)來保護你的帳號安全。通常是以驗證碼方式,搭配簡訊或是應用程式來一起使用,也就是說使用者只要在支援兩步驟驗證的服務上設定好自己的手機號碼,往後以帳戶密碼登入後,還要輸入驗證碼,而這組隨機產生的號碼將會傳到你的手機上,或是以你的手機 App 來進行產生。
攻擊者無法單獨以帳號、密碼組合來存取你的帳戶,必須要使用行動裝置來產生驗證碼,可以大幅提昇帳號安全。
關於兩步驟驗證,可以參考以下我寫的幾篇文章教學:
- 開啟 Google 兩步驟驗證,使用 Google Authenticator 產生驗證碼,強化帳戶安全
- 8 個線上服務「兩步驟驗證」設定說明,確保帳戶免於威脅
- Google 用戶都該知道的 10 個重要連結