• 脸书竟以明文形式储存密码,你身份安全吗?

2020-08-01

脸书竟以明文形式储存密码,你身份安全吗?

昨天经知名资讯安全议题的部落格 Krebs on Security 的报导揭露, Facebook 将使用者的个人密码,以明文的方式储存于伺服器当中。依据部落格内的数据,这些以明文方式储存的使用者帐号可能介于2亿到6亿个帐号左右,有权限可以看到这些密码并且实际曾经做过与帐号密码相关联的查询的 Facebook 员工高达两千多人。

该报导引述了 Facebook 的说法:目前并未查获有任何外洩的迹象。但是,你相信这个我们每天都在使用的社群平台,几乎可以等同于你的虚拟身份,现在这个身份的帐号与密码还是安全的吗?

从一般大众经验来看,我们总是会打从心底地信任这些已经在全世界有上亿使用者的网路公司,例如Apple、Google、Facebook、Amazon等等公司,会认为这些公司发展规模这幺大、拥有数量庞大的顶尖资讯科技工程师人才,在资讯安全的制度规划及实务经验上应该是无庸置疑的。

此外,这些大型公司均已经在美国的证券市场上公开发行交易了,依据我本身实务在会计师事务所审查公司公开发行的经验,其资讯安全这一範畴也是需经过审核的过程,并得到可以信赖的结论。何以 Facebook 还是会有这样子的低级错误发生呢?

从这边来看,也显示了一般民众作为网路世界使用者的一员,在密码管理及保护的观念上,也有着巨大风险而不自知。怎幺说呢?

大部分的使用者为了方便以及脑力无法背下太多不同的密码组合,因此不论是注册多少个各种类型网站,只要涉及需登录一组帐号及密码时,均使用同样的一组密码。你试想,如果今天你这组密码恰恰好也用在 Facebook 上的话,这次的明码纪录与洩漏,不就代表着你同时也洩露了另外曾经注册过的数十个甚至数百个网站的登入密码吗?你来得及去变更那些网站的每一组密码吗?

 Facebook 事件,带给企业及个人的启发是什幺?

资讯安全管理範畴上有知名的 ISO 27001 国际标準,或是 COBIT 的国际标準,企业早已有这些最佳实务方法论的做法可以依归并採用。密码外洩会对公司信誉造成损失,也会对客户造成损失,因此需谨慎认真面对使用者帐号密码存放管理方式。除了制度的导入之外,更应安排独立的稽核或监控单位,站在独立客观的角度监控公司的资讯安全制度落实实务状况。

对一般使用者的建议是,开始使用密码管理工具,在每一次注册帐号密码时,都使用不同的密码。这样做的好处是,当其中一个网站的密码外流之后,那组密码与其他上百个网站的密码不一样,因此不会危害到我们另外的网站帐号。

此外,对代表我们身份的重要网站,例如 Facebook 的帐号密码、电子邮箱的帐号密码,我们更应该开启两段式验证的功能,利用手机验证码作为第二道防线,更能确保发生密码外洩后,我们的身份也不会被盗取利用。

结论

在现代的社会科技演进过程,我们生活在实际空间与网路空间的虚实整合越来越密不可分,我们常常仰赖着知名网站的帐号身份与我们的朋友、同事互动;用这个帐号身份发言,也代表着我们实体社会上的个人言论。因此我们更应该要开始使用密码管理工具,妥善管理密码,让这个虚拟身份被盗用的机率降到最低。



上一篇: 下一篇:

 相关推荐

申博太阳城_皇冠彩票手机版下载|免费发布本地生活|全面的消费资讯|网站地图 申博官网备用网址_99499威尼斯下载 申博官网备用网址_澳门京都开户