阿碼外傳-阿碼科技非官方中文 Blog: 12/01/2009 - 01/01/2010

2009年12月1日

帳號密碼妙關聯,一般會員知多少

這篇文其實很早就想寫了,但總認為帳號密碼管理的殺手級應用,應該隔年就快出現了。但隔了一年又一年...@@,似乎遲遲不見相關應用。希望這篇文能引起大家對帳密管理重視與分級的觀念。

身為現在網路的一份子,你有多少組帳號密碼呢?E-Mail就好幾個,還有一堆會員帳號,不是嗎?很顯然的這裡面有很大的商機,但遲遲不見相關應用產品或技術。我大膽的說,帳密問題不解決,未來雲端將沒有安全性可言。

最近這個夯很大,來做個解說吧!

上圖,大家應該頗熟悉這畫面,帳號是取用電子郵件名稱,我甲意,你的密碼是啥呢?有沒想過幾個劇本呢?
一、電子郵件名稱就是密碼?生日?[太好猜,社交一下很有機會]
二、密碼是123456。[弱密碼,隨便猜猜]
三、電子郵件信箱也是這邊登入的密碼。[這劇本非常奧妙,不少人都是用這吧]

看完帳號部分,接下來也要看一下密碼復原機制。不忘密碼枉為人...XD。

很簡單的機制,我也頗喜歡的,忘記密碼也不用擔心,直接把密碼復原的連結寄到帳號,也是一電子信箱,亦無法變更信箱...讚。這可以玩某種 One-Time Password 的把戲耶,密碼設定到極複雜,用完然後就忘記...XD。

這裡面需要注意幾個問題:
1. 帳號設定使用的電子信箱必須永久有效,不然,密碼忘記可就麻煩了。
2. 帳號設定使用的電子信箱管理權被拿走,這可是一舉淪陷多個帳號。
3. 帳號設定使用的電子信箱密碼忘記,哪,看看信箱的忘記密碼機制能否救了。
4. 啥!密碼復原郵件被當垃圾郵件,收不到@@...XD
5. 這點才是我的重點,兩邊的密碼使用都是一樣的,應該有很多人都是這狀況的,會有啥問題呢?可妙了。

這時我們先切換到另外一個場景,你曾經填寫過哪些會員資料呢?不會都一五一十的寫吧!

填寫資料項目中,玲瑯滿目、五花八門,卻也可能處處充滿由網路世界跳脫至真實世界的巧門。填寫時需要多加以衡量其資訊的正確性與有效性,如非必要,能不填就不填,需要填就使用假設的一個虛擬個人資訊吧,網路是應該有另一個虛擬身份的。你是 Anderson 還是 Neo 呢?
每個網站的眾多資料項中,裡面有個幾乎是所有網站都會要必填欄位:"密碼"與"E-Mail"。如果在會員網站留下的"密碼",與"E-Mail"使用的密碼,是一樣的。那,無異於大辣辣的把另一組帳密告訴別人了嗎?

如果:
1. 這網站是釣魚、詐騙網站。
2. 這網站管理者盜賣個資、或加以濫用。
3. 這網站會員資料淪陷了、個資外洩了。

個資是可以做很多事的,電話可以發送詐騙簡訊、撥打詐騙電話,地址可以用來寄送中獎詐騙,E-Mail可以寄發各種社交郵件,有留下 IM 資訊的可能與留下的密碼是一致的(這個可以玩的花樣可多了...),這些都可以做很多運用的。

密碼管理也需要分級設定的,還在用一個密碼打通關嗎?這風險是極高的。我想多數網友是使用好幾組密碼的,但這還不夠,還需要注意資訊的彼此關聯性,
提供一些方向參考:
1. 會員網站能不留資料就盡量別留吧!這樣密碼掉了也不會痛。
2. 一般商業會員網站,除了留假資料外,如果有密碼復原機制的,密碼就隨興吧!反正重設密碼還頗容易。最好是利用 E-Mail 做密碼復原,且 E-Mail 一經設定是無法變更的最佳,這樣只要守好 E-Mail 帳密即可。
3. E-Mail使用的密碼一定不能在其他地方使用(與其他密碼重複的)。
4. 跟$$有關的帳號密碼,請務必以謹慎方式處理,或配合實體機制(如動態密碼鎖...等)來強化安全。

看到這邊,是不是該把 E-Mail 使用的密碼都給變更一下呢?

作者 Crane 為阿碼科技一員
本文亦張貼於「資安之我見」部落格

繼續閱讀全文...