你的密碼被偷了嗎?

兩天前收到Dropbox的通知信,說我從2012年起就沒有變更過密碼,為了安全起見,下次登入時系統會提示進行更新。

信件與網頁強調這單純是預防性措施,帳戶並沒有被不當存取的跡象(實際登入Dropbox網站檢視存取記錄,的確也都正常),原因是Dropbox發現有一組舊的使用者登入資料 (電子郵件地址加上加密及雜湊的密碼)在2012年被偷走,Dropbox經由監測與分析相信未有帳戶遭到不當存取。不過為了安全起見還是要求所有 2012 年中之後就未曾更新的使用者,在下次登入時重設密碼。

今天看到Troy Hunt(有名的資安領域MVP)的文章,他拿到Dropbox流出的6800萬筆帳號、密碼雜湊檔,正巧包含他太太的Email帳號與密碼雜湊值。密碼由密碼管理工具(1Password)產生,是一組超過20字元的隨機字串,於是Troy做了簡單實驗,用密碼破解工具(hashcat)驗證Dropbox流出資料的雜湊碼的確是用該密碼計算出來的,換言之,檔案是真實資料無誤。

文章有提到Troy Hunt建立的資安服務網站「Have I been pwned?」,網站蒐集重大帳號密碼外流事件的資料整理成資料庫,不需註冊或登入,在網頁輸入Email或帳號名稱就可以查查自己的帳號密碼個資甚至信用卡資料是否曾被竊取或公開。

拿我的Email查了一下:

靠北,我中了!

我的Email名列本次Dropbox事件的高危險群(難怪會收到Dropbox的通知信),查詢結果顯示「Pwned on 1 breached site found no pastes.」代表帳號或Email出現在一個網站的外洩資料中,而Paste是指資料被公開散佈(例如:被貼到匿名公佈欄),而本次Dropbox的資料尚未公開流傳,但很可能已在駭客圈私下交流多年。我的因應之道是改用KeePass產生一組32字元的新密碼,並啟用兩階段驗證(加上手機簡訊驗證)。

未來再有帳號密碼外洩事件,未必每個廠商都像Dropbox一樣願意主動告知,Have I been pwned是可以馬上查證自己是否身陷險境的好地方~

歡迎推文分享:
Published 31 August 2016 11:07 PM 由 Jeffrey
Filed under:
Views: 69,244



意見

沒有意見

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<August 2016>
SunMonTueWedThuFriSat
31123456
78910111213
14151617181920
21222324252627
28293031123
45678910
 
RSS
創用 CC 授權條款
【廣告】
twMVC

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication