「天啊,我的帳號被盜了!」
通常,問題都出在你自己身上。


看到很多網路的使用者當帳號被盜用時(不管是雅虎、無名、還是其他有會員制度的網站),除了跳腳之外,就是來責怪網站怎麼這麼不安全?這個網站好爛,帳號這麼容易被盜。

通常我看到上述反應時,我就知道這個人:

A、他一定是個很LOCAL的網路使用者
B、再來就是對網路安全一無所知
C、第三嘛,他再度被盜取帳號密碼成功的機率會有八成以上----如果他沒修正自己的使用習慣、或是網路安全常識沒有進步的話。


是的,當你的網站帳密(帳號密碼)被盜用了,可不要先急著在怪到網站頭上了,問題可能出在你自己身上。

為了方便說明,我們就以雅虎Yahoo!為例子吧。


會被盜用帳密的原因歸類如下:


第一、密碼設定得太簡單

我建議的密碼至少都要有三種規則混合:

英數混合加上大小寫混合,這是最安全的密碼。

比如5566就太簡單,跑個程式就破了,
比如9603只比5566困難一點點,

比如 maggylee 也比上面難一點,
但是如果是 maggy9603 困難度就高出很多,

又,如果是 Maggy9603,真要跑程式破解,我看也要日夜不休連續跑上好幾天。

(目前的雅虎奇摩已經規定會員必須使用英文+數字,我建議大家最好再加上大小寫的區別)

數字是一個規則,大寫英文是一個規則、小寫英文又是另一種規則。是的,對一般網站的密碼來說,大小寫是有差別的。

建議大家盡量用三種規則的密碼來保護帳號,規則越多,被破解的可能就會越低。

 

好的密碼有以下特性:

  • 獨特性。請不要與您其他的帳號共用同一個密碼,例如您銀行帳號的密碼。
  • 很難猜。請不要使用常見的詞語或名字。
  • 至少有7個碼。
  • 應包含大小寫字母、數字及符號。

不好的密碼,例如:

  • 可以在字典(英文字典或其他)上查到的字。
  • 你的帳號(即使它順序顛倒、改成大寫、重複等)。
  • 常見的名字,例如:家族成員、寵物或朋友的姓名。
  • 與您有關又容易取得的資料(例如:門牌號碼、電話號碼、公司、學校名稱、手機品牌、街名等)。
  • 全部一樣的字母或數字(會減少密碼破解程式所需的時間);任何常見的簡單順序組合(例如:123456)。



第二、盜取帳密的事情在每個會員制的網站都會發生

只是Yahoo!的會員很多,就顯得被盜取帳號的人好像特別多,這可是不太公平的誤會。

就像是假設發生瘟疫的話,台灣的死亡人數跟大陸的死亡人數根本不能作比較,我們看這類事情該比較的不是「數目」,是「比例」。


第三、妳不得不承認,Y的會員大多很LOCAL

有的甚至只會用滑鼠,打字慢吞吞,什麼叫做「瀏覽器」或是「IE」他可能都還不曉得,更不用說會用快速鍵。

連基本的電腦操作只能在最原始的階段,還奢望要他們去瞭解什麼網路安全?

但很不幸的,詐騙集團通常沒這麼LOCAL,他們懂得利用網路來盜取帳密資料,來欺負不懂網路的人,這一點雅虎或是其他網站經營者其實除了努力宣導網路安全外,其他的卻幫不了忙。

因為帳密會被盜取都是使用者自己要負責任的事情,而這些狀況之所以會發生大多都是來自網友自己本身的無知。

怎麼個無知法?就我瞭解有以下:

狀況一:

到陌生的電腦使用後沒有記得登出,(如網咖)
甚至還讓那部陌生的電腦可以自動記錄你的帳密。

這我是親身經歷過,我曾經使用過尚未登出雅虎信箱的電腦、或是MSN沒登出的電腦、或是我一移動到帳號密碼欄位,帳號跟密碼就自動產生了....


狀況二:

到處下載有的沒的有趣小軟體,然後被壞人順便植入木馬程式,讓人家在你不知道的時候五鬼搬運,側錄了你的各種帳密。

木馬程式,完整的名稱為「特洛伊木馬程式」,相信大家應該聽過特洛伊木馬屠城記的故事吧。特洛伊木馬是 Trojan Horse 的中譯,就是借自「木馬屠城記」的典故。

古希臘有大軍圍攻特洛伊城,逾年無法攻下。 有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。 到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬"。

現今電腦術語借用其名,意思是"一經進入,後患無窮"。 特洛伊木馬原則上只是一種遠端管理工具。 而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。

木馬攻擊原理
W;%
特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽、側錄,在對接收的資料識別後,對目標電腦執行特定的動作。 木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。

簡單地說,被害者往往在不知不覺的狀況下,經由網路的不安全行為被植入木馬程式,這等於開了後門,然後只要被害者是上網狀態,遠端的壞蛋就利用這個程式不知不覺地監看、偷聽、側錄被害者在電腦裡的所有行為,包括密碼等相關隱私資料都不會漏掉。



好,現在你瞭解木馬程式有多可怕了,但是,它是如何進入你的電腦的?

以下。


狀況三:

亂開一些勾起你的好奇心的網站,傻傻地聽從指示輸入帳密

比如「查MSN誰封鎖你」這種白癡又無聊的網站,會要你輸入MSN帳密,
當你輸入,其實就已經被盜取MSN帳密了

狀況四:

看到可愛有趣的小遊戲、或是能夠查到一些資料的小程式,你就下載了、執行了。
此時,木馬就進來了。

比如上述的「查MSN誰封鎖我?」也有執行檔版本,裡面就有木馬程式。

(所以不要亂下載非官方網站提供的亂七八糟軟體。)


狀況四:

又或者是你以為你進入的是雅虎拍賣首頁,誰知道那是假的,只是作得很像...
重點是誰會記得雅虎拍賣首頁的網址是什麼?就很像啊...

然後你輸入雅虎帳密準備登入拍賣,這時已經被盜取帳密了。

這個假網站,就是所謂的「釣魚網站」。

這個頁面在說的其實就是釣魚的手法


狀況五:

更不用說收信時因為好奇或是被詐騙集團的假信騙了,亂點連結,
然後被盜帳密、被釣魚

有的連結表面上看起來很正常,但是你點下去後,都會被導到很奇怪的地方,或是自動下載奇怪的東西,這就是假連結。

真的,有的網址真的只要點了,就中獎了,不需要執行什麼東西。

其實就跟上面的狀況四一樣。釣魚嘛。

什麼是網路釣魚

網路釣魚(Phishing) 起源於英文字Fishing(釣魚),原意是釣(盜)取網路使用者的帳號密碼及個人資料,它是目前非法駭客竊取使用者帳號密碼的慣用手法之一。

非法釣客(Phishers)或駭客會仿製知名網站的登錄頁面,然後利用垃圾郵件或即時通訊發送連結,誘使網友登入,直接騙取網友的帳號、密碼,甚至姓名、地址、電話及信用卡資料,再利用這些資料獲取不當利益。



因為上述種種狀況,所以帳密被盜用了。

之後就是USER再來怪網站的安全作得不好啊,怎麼那麼容易被盜帳密啊,這個網站好不安全喔...云云。

其實危險的都是「人」,製造危險的也都是「人」。

詐騙集團作陷阱讓你跳,你對網路安全一無所知所以跳了,也等於給自己製造危險。


網友LOCAL不是錯,但是也不是網站經營者的錯,要怪只能怪詐騙集團就是這樣愛欺負人,欺負很多人不懂網路有多危險。


以上只是告訴大家:當你不幸遇到被盜帳密的情形時,先不要急著罵網站爛或是有多麼不安全等等。

老實說,現在的雅虎已經算是很安全的網站了,
不安全的都是你自己的使用行為


雅虎安全圖章的設定算是一個創舉,如果會用,只要設定一次就好,是可以杜絕盜取帳密的釣魚網站。

然後密碼設得複雜些、英數混合甚至加上大小寫混合,多一種密碼規則,你會越安全。

我用網路十幾年, 我從來就沒有被盜取過任何一個網站帳號過。

我認為「認識網路安全」對大家是有必要的,這關係到你的隱私與自身安全、財產安全,你也不想有人盜用你的帳密進入信箱,或是利用木馬程式偷看你電腦,看光光所有重要的資料吧?

如果你不幸被盜取帳密了,請你去找出原因可能是什麼,我寧願相信百分之九十的問題,一定是出在你某時某刻的不安全行為上,而不是網站本身安全不安全。

如果你不去想起來那些可能的不安全行為,並且注意、避免,那我可以預言你一定還會有機會被繼續盜取帳密。。

以下這裡其實不只針對雅虎本身的帳密安全,
它是通則,適用在所有會使用帳號密碼的會員制度的網站上。

希望對大家會有幫助。


Yahoo!奇摩帳號安全中心點圖瞭解

 

 

 

arrow
arrow
    全站熱搜

    麗子麻 發表在 痞客邦 留言(0) 人氣()