fresetio 來聊聊帳號安全這檔事 Twitch遭駭客入侵，連原始碼都外洩 - iThome技嘉遭駭客攻擊！勒贖信曝光竊走112GB機密 - 數位時代駭客攻破T-Mobile致歉：已通知百萬被駭戶 - 聯合報勒索軟 - #olcwrh - Plurk

3 years ago @Edit 3 years ago

來聊聊帳號安全這檔事

Twitch遭駭客入侵，連原始碼都外洩 - iThome

技嘉遭駭客攻擊！勒贖信曝光竊走112GB機密 - 數位時代

駭客攻破T-Mobile致歉：已通知百萬被駭戶 - 聯合報

勒索軟體攻擊／去年至少15上市櫃公司被駭勒贖 - 聯合報

Windows系統出現漏洞恐被駭NCC呼籲盡快更新版本 - 中央社

以上為這三個月的新聞，可以看出各大公司被駭成功的頻率相較於好幾年前越來越頻繁，這也是為什麼微軟、蘋果、android三天兩頭就在跳update要你重開機去更新修補漏洞。不過每當有公司服務被駭，使用者要煩惱的則是已註冊的個人資料、帳號與密碼。

3 years ago

帳號通常沒辦法改，也因此每當網站服務傳出被駭的消息都會告知使用者盡快更改密碼，且告訴使用者不要跟在其他地方使用過的密碼重複，然而我相信大多數的使用者會有重複密碼的習慣，而且不會超過兩組密碼，又因為隨著硬體的計算能力高速進步，在暴力破解或解密上更加快速，現在要求你設定的密碼強度又被往上提了好幾個層次，最後就是又臭又長的密碼，100位密碼真的不是夢。

3 years ago

所以密碼管理的服務也有越來越多人在使用，同時具有跨平台的服務，最常見的不外乎google chrome或是chromium edge，對應的帳號為Google跟Microsoft，還有一些專門提供這些服務的軟體，但這裡也產生了兩個問題，登入google跟微軟帳號也需要密碼吧？如果這帳號被登入了密碼不就被看光光？萬一google跟微軟也被駭了，密碼不就全部都被知道了？所以我們除了密碼以外需要另一種登入驗證的方式。

3 years ago

https://images.plurk.com/5kwmZwnocc9Q4GgfGE9VHa.png

https://images.plurk.com/1PHbCFbq6mF403gLYfjKbT.png

立即下載

3 years ago

其實雙重驗證很早就有了，不過在登入伺服器那端跟本沒有什麼加密，也是屬於伺服器那端被駭就全部看光光了，真要說的話楓之谷OTP倒是蠻先進的，缺點就是以當時來說真的很貴，一組原價299還要自備讀卡機且付月費。

3 years ago

2FA最常見的有兩種，SMS跟OATH-HOTP(時間型單次密碼)，SMS透過綁電話號碼傳簡訊給你驗證碼，OATH-HOTP現在最常看到的是google驗證器跟steam guard，兩者都有漏洞存在，但是現在我會告訴你盡量不要用SMS，有時候帳號被盜問題可能不在你身上。

3 years ago

“SIM Swapping”
駭客會拿著你的個人資料向電信業者聲稱手機SIM卡不見或壞掉等理由，取得一張新的SIM卡，這樣你的手機號碼就被劫走了，要登入你任何使用SMS做2FA的服務輕輕鬆鬆。整個過程你沒出任何錯，而是電信業者身份確認的漏洞。

3 years ago

至於google驗證器這種也有同樣的問題，知名案例為Rainbow six:siege youtuber ”bikini bodhi”帳號被盜，拿著假資料透過客服將帳號的電子信箱換了，二次驗證甚至被取消掉。現在都要求你二次驗證要把QR Code跟一串救援碼保存下來，相較之下還是安全許多。

3 years ago

既然如此，那乾脆不要密碼？所以越來越多服務推出了FIDO(Fast Identity Online)無密碼登入服務，網路銀行常見的指紋辨識、人臉、硬體金鑰，到了這地步已經是相當安全的登入方法了，指紋不會被忘記，除非你手指被掰下來，人臉除非你整形，那硬體金鑰呢？除非量子電腦面世把RSA算爛。最明顯會有的漏洞就是保留了其他的登入手法，google怕你密碼忘記，會要你綁電話或其他信箱，但也增加了駭客登入的難度了。

3 years ago

因為最近頻頻的遭駭事件要我更改密碼，說的就是你twitch，明明好幾年前被駭過一次大的，在這樣的情境下我入手yubikey 5 NFC他長這樣

3 years ago

https://images.plurk.com/39yG1gRlyfvDWRu7L6gzxF.png

3 years ago

我是推薦買Type-C或是Lightning版本，而且要從原廠買，因為韌體是沒辦法自行更新都是廠商出貨是哪版就哪版。

3 years ago

對於又臭又長的密碼我是用靜態密碼，長按或短按就自動Key入一串超長密碼

3 years ago

https://images.plurk.com/wsPvA9x41kvgfhKIIhb94.png

3 years ago

可以設定兩組，key完密碼用實體金鑰2FA

3 years ago

https://images.plurk.com/IEk9omWioi6GBjXAm9Egv.png

3 years ago

跟google驗證器差不多就差在一定要usb或NFC同時可以省去換手機裝置的麻煩，東西是存在實體金鑰裡的。

3 years ago

要將每個服務帳號都使用不同密碼的話還是搞一個密碼管理服務用FIDO2吧，這樣就是99.9%的安全了，除非你家有內鬼。實體金鑰的FIDO2也有PIN碼所以即使金鑰被幹走也要有PIN碼才能進。

3 years ago

目前用下來還是微軟最爽金鑰插下去手指摸著y就直接登入了

3 years ago

FB這拉機Edge瀏覽器用不了金鑰

3 years ago

我排版好爛

3 years ago

優文建議存到hackmd或medium上（？

3 years ago

造型有點Half Life

3 years ago

AllanCat 因為y倒過來就是"入" 入只有兩筆劃所以HL不會有3

3 years ago

3 years ago

但是會有4 KEKW

3 years ago

我還以為這個是存一堆密碼然後可以自行分類不過這個好像也蠻安全的

3 years ago

s3ythe 可能未來會有但是價格也會往上噴