密碼外洩情事頻傳,提醒留心弱密碼攻擊

本月9日先是在俄國論壇上被發現有人公布了一份俄國電子郵件服務提供商Mail.ru與Yandex上百萬的郵件帳號與密碼列表,隨後又傳出在俄國比特幣安全論壇上,有用戶公布了近5百萬筆Google的帳戶資料列表,並宣稱這個列表僅提供查詢是否在列,而其中至少還有60%以上的資料密碼目前仍被使用中,並貼出了部份帳號連同密碼的截圖。

由於Google的用戶遍及全球,事件發生不久便引起媒體注意,美國《紐約每日新聞》提供一網站hxxp://isleaked.com/en讓民眾查詢自己的Google帳戶是否在列,但很快的被發現其實isleaked.com這個域名是在帳戶資料列表被公布的前一天被註冊的,同時有不少受駭用戶指出,被洩的帳戶密碼為多年前使用的舊密碼,並且這些受駭用戶多半有使用加密式電子貨幣(Cryptocurrency),使這件事變得相當可疑。Google的安全研究小組也在部落格上表示這次事件並非Google系統被入侵,可能是惡意程式、釣魚網站,或者使用者同樣一組密碼用於許多網站,只要其中一個網站被駭,而造成本次機敏資料外洩。

 

經分析,這波帳戶密碼外洩事件仍可見到大量用戶使用「123456」、「123456789」、「111111」這類簡單好記的密碼;也有不少用戶直接使用「google」、「facebook」等知名網路服務來當做密碼。這些密碼都是弱密碼的一種。所謂的弱密碼即為多數人慣用或常用的密碼,當發生密碼外洩事件後,駭客就能藉由統計,匯整這些慣用或常用的密碼列入密碼猜測的字典檔。這樣一來,透過猜密碼的方式破解帳戶就變得輕鬆有效率。

 

不論您是否為本次事件受駭用戶,若您有Google帳戶,我們都建議您由乾淨安全的私人電腦進行下列動作:

  • 從https://g.co/accountcheckup,檢查個人Google帳號活動的情況。
  • 如有異常的帳號活動,盡快變更Google帳戶密碼,並使用強健的密碼。
  • 登入Gmail,在收件夾最底下右側的「詳細資料」中,登出所有其它工作階段。
  • 考慮採行兩步驟驗證機制:https://www.google.com/landing/2step/
  • 避免一個密碼走天下,不同的網路服務盡可能使用不同的密碼

至於企業用戶的電子郵件密碼安全,中華數位科技SPAM SQR具備密碼強度檢測功能,讓您在遵守ISO27001的定時檢測、密碼長度與複雜度規範下,又可實施定期密碼稽核,更進一步確保密碼的強健度,同時具有自動通知和統計報表功能,提供企業防堵資安漏洞。詳情請洽中華數位科技02-25422526