2011年2月12日 星期六

【密碼】如何避免密碼設定問題被猜中?

如何避免密碼設定問題被猜中?

密碼提示問題1:我寵物的名字?  設定的答案1:現在是下午5:00

密碼提示問題2:我就讀的高中?  設定的答案2:今年冬天會很冷

太多案例顯示密碼提示問題是密碼被猜中的關鍵,如果你記性夠好,你可以答非所問的回答你的密碼提示問題。

20110128
      美駭客利用Facebook竊取郵件帳號被判刑6年-這則新聞指出歹徒鎖定在Facebook上公開郵件位址的女性,然後從這些女性張貼的訊息了解郵件帳號的安全問題與答案,再偽裝成當事人向郵件供應商取得新密碼,並進一步偷取到女性的裸照。 試想,你曾不曾在Facebook 張貼你寵物的名字?你就讀的學校是不是在你的個人檔案一目了然?名人的密碼提示問題,Google 一下就找到答案 如果你是雲端運算與網路安全趨勢的忠實讀者,這情節應該很熟悉。在這篇Salma Hayek莎瑪.海耶克電子郵件帳戶被駭,看看你是否也是被害高危險群的文章中,女星的行程被公開:「星期六早上10:00女星Salma Hayek莎瑪.海耶克會去做臉。」駭客變更信箱密碼後,還得意地在網路宣稱只要知道關於Salma Hayek的生日和代表作,就可以得逞。

      同樣的情形也發生在另一名人— 當年的美國副總統候選人身上。請參考:如果你是Sarah Palin,你的郵件帳號會被入侵嗎? 駭客利用密碼重設功能入侵了莎拉裴琳(Sarah Palin)的Yahoo個人帳號,還把他入侵成功的證據公諸於世。駭客在Yahoo的身分確認問題清單中正確地選擇了「你在何處遇見未來的另一半?」這個問題,然後試過一些"Wasilla High School" 的不同表示方式之後,最後成功猜出"Wasilla high" 這個答案。密碼重設功能可讓你變更遺失或忘記的密碼,只要回答一些問題即可,而你應該已經知道這些問題的答案。不過,如果你選擇了別人也能回答的身分確認問題,他們就能輕易重設你的密碼。然後,要求重設密碼的人便能取得帳戶的完整存取權限— 這就是莎拉裴琳遭遇的問題。 基本上有兩種方法可以防止入侵者重設你的密碼。


方法一:你所選擇的問題,必須讓駭客無法藉由在線上搜尋你的背景資料而猜出答案,此外你還必須確定他人無法透過公開的來源取得太多關於你個人的資訊。人們現在不需花費太多功夫即可取得經常用於識別身分的資料,例如郵遞區號、就讀的高中、你的愛犬等等。有養寵物的人不曾在Facebook 提到小狗小貓名字的請喊"又"?

方法二:就是前述我們說過的答非所問,你所選擇的問題填入毫不相干的答案。如果問題是「你寵物的名字?」,並不表示答案不能設定為「我是大美女」,但前提是你得記得這個密碼。

此篇文章出處網址

相關文章 :

0 意見: