臉書竟以明文形式儲存密碼,你身份安全嗎?

我們更應該要開始使用密碼管理工具,妥善管理密碼,讓這個虛擬身份被盜用的機率降到最低。
評論
評論

本文由作者投稿,作者林國正,國立大學管理科學系畢業,現職為金融業程式開發者,曾經歷四大會計師事務所專職資訊安全風險控制及規劃、及公司上市櫃申請之內控審查。專業領域經驗在資訊安全範疇,有五到七年經驗。

昨天經知名資訊安全議題的部落格 Krebs on Security 的報導揭露, Facebook 將使用者的個人密碼,以明文的方式儲存於伺服器當中。依據部落格內的數據,這些以明文方式儲存的使用者帳號可能介於2億到6億個帳號左右,有權限可以看到這些密碼並且實際曾經做過與帳號密碼相關聯的查詢的 Facebook 員工高達兩千多人。

該報導引述了 Facebook 的說法:目前並未查獲有任何外洩的跡象。但是,你相信這個我們每天都在使用的社群平台,幾乎可以等同於你的虛擬身份,現在這個身份的帳號與密碼還是安全的嗎?

從一般大眾經驗來看,我們總是會打從心底地信任這些已經在全世界有上億使用者的網路公司,例如Apple(蘋果)、Google(谷歌)、Facebook(臉書)、Amazon(亞馬遜)等等公司,會認為這些公司發展規模這麼大、擁有數量龐大的頂尖資訊科技工程師人才,在資訊安全的制度規劃及實務經驗上應該是無庸置疑的。

此外,這些大型公司均已經在美國的證券市場上公開發行交易了,依據我本身實務在會計師事務所審查公司公開發行的經驗,其資訊安全這一範疇也是需經過審核的過程,並得到可以信賴的結論。何以 Facebook 還是會有這樣子的低級錯誤發生呢?

從這邊來看,也顯示了一般民眾作為網路世界使用者的一員,在密碼管理及保護的觀念上,也有著巨大風險而不自知。怎麼說呢?

大部分的使用者為了方便以及腦力無法背下太多不同的密碼組合,因此不論是註冊多少個各種類型網站,只要涉及需登錄一組帳號及密碼時,均使用同樣的一組密碼。你試想,如果今天你這組密碼恰恰好也用在 Facebook 上的話,這次的明碼紀錄與洩漏,不就代表著你同時也洩露了另外曾經註冊過的數十個甚至數百個網站的登入密碼嗎?你來得及去變更那些網站的每一組密碼嗎?

 Facebook 事件,帶給企業及個人的啟發是什麼?

資訊安全管理範疇上有知名的 ISO 27001 國際標準,或是 COBIT 的國際標準,企業早已有這些最佳實務方法論的做法可以依歸並採用。密碼外洩會對公司信譽造成損失,也會對客戶造成損失,因此需謹慎認真面對使用者帳號密碼存放管理方式。除了制度的導入之外,更應安排獨立的稽核或監控單位,站在獨立客觀的角度監控公司的資訊安全制度落實實務狀況。

對一般使用者的建議是,開始使用密碼管理工具,在每一次註冊帳號密碼時,都使用不同的密碼。這樣做的好處是,當其中一個網站的密碼外流之後,那組密碼與其他上百個網站的密碼不一樣,因此不會危害到我們另外的網站帳號。

此外,對代表我們身份的重要網站,例如 Facebook 的帳號密碼、電子郵箱的帳號密碼,我們更應該開啟兩段式驗證的功能,利用手機驗證碼作為第二道防線,更能確保發生密碼外洩後,我們的身份也不會被盜取利用。

結論

在現代的社會科技演進過程,我們生活在實際空間與網路空間的虛實整合越來越密不可分,我們常常仰賴著知名網站的帳號身份與我們的朋友、同事互動;用這個帳號身份發言,也代表著我們實體社會上的個人言論。因此我們更應該要開始使用密碼管理工具,妥善管理密碼,讓這個虛擬身份被盜用的機率降到最低。

責任編輯:李柏鋒
核稿編輯:Chris


AWS For Data Web Day:5 / 25 免費線上研討會,帶領企業制定現代化數據戰略

AWS 將於 2022 年 5 月 25 日 下午 2:00~5:00 舉行線上研討會 AWS For Data Web Day,以「數據與分析」為本次活動主旨,幫助企業制定現代化數據戰略,除了精彩內容外,同時也邀請了 3 位知名產業經驗的客戶進行分享,讓您了解在產業實務上 AWS 如何協助企業進行轉型。
評論
評論

數位轉型是一段不斷學習與創新的過程。身為雲端服務龍頭,AWS 從過去到現在從未停止創新,且為了幫助企業客戶在數據為王的時代,能有效利用數據資料獲得深入洞察、搶得市場先機,AWS 將於 2022 年 5 月 25 日 下午 2:00~5:00 舉行線上研討會 AWS For Data Web Day,以「數據與分析」為本次活動主旨,幫助企業制定現代化數據戰略。

2022 年的關鍵任務:制定現代化數據戰略

在討論元宇宙拓荒、搶佔新興科技商機以前,企業是否已經紮穩腳步,建置完善的數據資料庫,建構業務創新的重要基礎?在邁向新時代的關鍵 2022 年,此刻最重要的任務之一,是制定現代化的數據戰略,幫助企業持續數位轉型。對此,AWS For Data Web Day 線上研討會內容,將包含 Amazon DynamoDB 的十年創新之旅,帶領參與者進行新功能重點探討,並且同步深入了解 AWS 現代化企業數據遷移實戰、現代化數據平台大戰略、數據創新與加速分析應用等。

除了詳細解說數據對您企業帶來的影響之外,也邀請到 AWS 實際企業客戶分享成功案例,加速了解如何運用數據與分析進行產業數位轉型。

如何透過 AWS 獲得成功?重量級客戶親自揭密

AWS For Data Web Day 線上研討會本次邀請了重量級來賓,成功企業包含全方位寵物管家 萬達寵物、大數據智能資料稽核與保護的專家 – Datiphy 以及企業數據資產整合專家 – eForce,以上三間知名企業,將親自講授他們是如何透過 AWS 獲得成功,並且在數位轉型上取得領先的地位。

本場研討會,在深入了解該如何提升數據分析的效能的同時,又能兼具成本效益高與安全性;適合對於如何靈活應用大數據、對數據分析有興趣、想要建構數據與分析基本功的所有受眾,例如:公司技術部門決策人、業務決策人、IT 主管及希望深入認識數據分析的任何人士。與會期間參與問答,還有機會抽中百元美食外送平台優惠券。

在 AWS For Data Web Day 中探討雲端數據資料庫的優勢與做法,包括:

  1. 20 萬多個資料湖在 AWS 上執行
  2. 使用 Amazon EMR 比標準 Apache Spark 快 3 倍
  3. 比其他雲端資料倉儲更實惠的價格效能達 3 倍
  4. 使用 Amazon OpenSearch Service 在單個叢集中儲存的資料量可達 3PB
  5. 節省 70% 資料湖中資料的儲存成本

AWS For Data Web Day 報名須知

  • 日期:2022 年 5 月 25 日(星期三)
  • 時間:2:00 PM~5:00 PM
  • 形式:線上研討會

建議在活動前免費註冊 AWS 帳號  ,新註冊戶可兌換精美好禮三合一數據線。若為首次參加線上研討會者,GoToWebinar 會自動偵測電腦配置,可在加入時自動安裝;若是使用手機登入此活動,則需安裝 GoToWebinar 手機應用程式。