網絡安全﹕雙重認證防「賊仔」

文章日期:2019年01月09日

【明報專訊】為了資料安全,電腦專家常說不要重複使用密碼,但當我協助母親大人在手機安裝不同應用程式(App),並開設新戶口時,她都會向我抱怨太多密碼,根本記不下,然後問為什麼每次也要用不同的密碼,用單一密碼不是更方便。理論上,每次你開一個新戶口,在設立密碼時,系統都會單向加密,簡單解釋是系統並不會把整組密碼,完整放在資料庫上,若運用得當,密碼亦難以從單向加密的字串變回完整的密碼。

可是,不是每個IT系統也做足該做的事,也有系統錯誤地把整個密碼存在資料庫,當黑客取得資料庫,而你又把同一組密碼用於銀行或其他聊天室上,黑客就可以輕易登入你那些戶口。

電郵被「黑」 可泄其他戶口密碼

如果一直以來都是重用密碼可以怎麼辦?首先把重要的戶口密碼更改成其他不重複使用的密碼。重要戶口是指銀行、電郵及通訊軟件等。銀行密碼的重要,相信大家很清楚,只是較年長的人為了方便管理自己的密碼,往往忽略電郵和通訊軟件被黑客駭入的重要性。很多時候,電郵是重設密碼的重要渠道,獲得你的電郵登入資訊等同獲得很多其他服務的密碼,因為電郵可以直接重設密碼。而通訊軟件如Facebook等被駭入,則可能被人利用散播病毒,甚至是行騙,而最後受害更可能是你的父母、子女或是親朋好友。

另外,不要以為密碼大規模失竊很少有,其實不時都能在新聞看到個人資料被偷取的個案,密碼被偷亦不少。

想查閱大型戶口泄漏事件,可試試這個網站haveibeenpwned.com,用家只要將自己的電郵輸入到這個網站裏,便可以查到用此電郵註冊的服務,有沒有曾被黑客盜取或者泄漏過戶口資料。一旦發現電郵註冊的服務曾經在泄漏名單上,請更改密碼,避免有人以泄漏的密碼登入你的電郵,更改不同服務的密碼。

若能做好以上兩點,聰明的讀者更可以走多一步,幫戶口開啟雙重認證。這就像是銀行保安編碼器,利用多一重一次性密碼,減低其他人進入你戶口的風險,這種一次性密碼可透過SMS或者驗證碼產生器獲得,而現時已有不少服務供應商提供雙重認證功能,例如Apple ID、Google、Microsoft等,詳情可以到相關網站查閱。

希望大家學會保護自己,否則最後損失的都是你和你身邊的人。

文:楊婉翔(香港互聯網協會幹事)

明報影片