近日有臉友向臉書隱私研究所反應,駭客先攻破他的電子郵件密碼後藉此來取得臉書的密碼,並於登入後將他的臉書密碼更改。這是我們之前幾乎沒有想過的可能性。
這是一種新的盜取帳號手法嗎?不,此手法應該一直存在,只是我們平常沒有特別留意而已。
是不是因為電子郵件的密碼與臉書的密碼相同才會使得臉書帳號被盜?當然不是,駭客根本不需要再去攻破你的 facebook 密碼,只需取得你的電子郵件主控權,就可以透過 facebook 的「忘記密碼」流程輕易以你的電子郵件去接收 facebook 的密碼。如「拯救被綁架的臉書帳號 (忘記密碼處理流程)」一文中所提的,你可以藉由電子郵件取回忘記的 facebook 密碼。駭客當然也可藉由相同的途徑下手。
駭客在進行這類作業的時候通常會在半夜,一旦取得臉書密碼後便將收到的取回密碼郵件刪除,不留下蛛絲馬跡。讓你不知道帳號是如何被盜的。有的人帳號不停的被盜,就算一直更換臉書密碼也沒有用。很大的可能性就是電子郵件被駭客給掌握。而一般人並不會去想到原因竟然是出在自己的電子郵件,所以根本沒有想過要變更電子郵件的密碼。
要怎麼防範電子郵件帳號被盜呢?首先你必須將電子郵件的密碼設計得複雜一點。可參閱「防止臉書帳號被盜 – 強化型密碼的設定」一文。再來,某些免費電子郵件如 Gmail,有提供類似 facebook 一樣的驗證碼把關步驟,叫作「兩步驟驗證」。如果不覺得麻煩的話,建議開啟這個防護機制。
有沒有辦法讓駭客就算掌握了 Email 也不能連帶的盜取我們的 facebook 帳號?辦法當然有,就是臉書隱私研究一直以來不遺餘力推動的「為臉書加上金鐘罩 – 防止帳號被盜」。如此一來,駭客就算取得了 facebook 密碼,但少了驗證碼這關,他也無法登入我們的 facebook 帳號。
