臉書以明文形式儲存密碼,你的身份安全嗎?

臉書以明文形式儲存密碼,你的身份安全嗎?

昨天經知名資訊安全議題的部落格Krebs on Security的報導揭露, Facebook 臉書公司將使用者的個人密碼,以明文的方式儲存於伺服器當中。依據部落格內的數據,這些以明文方式儲存的使用者帳號可能介於2億到6億個帳號左右,並且有權限可以看到這些密碼的員工並且實際曾經做過與帳號密碼相關聯的查詢的員工高達兩千多人。該報導引述了臉書公司的說法,說目前並未查獲有任何外洩的跡象,但是,你相信這個我們每天都在使用的媒介,幾乎可以等同於你的虛擬身份的帳號與密碼還是安全的嗎?

使用者經驗

從一般大眾經驗來看,我們總是會打從心底地信任這些已經在全世界有上億使用者的網路公司,例如Apple蘋果、Google谷歌、Facebook臉書、Amazon亞馬遜等等公司,我們會認為這些公司發展規模這麼的大、擁有數量龐大的頂尖資訊科技工程師人才團隊,在資訊安全的制度規劃及實務落地經驗上應該是無庸置疑的。此外,這些大型公司均已經在美國的證券市場上公開發行交易了,依據我本身實務在會計師事務所審查公司公開發行的經驗,其資訊安全這一範疇也是需經過審核的過程並得到可以信賴的結論。何以臉書公司還是會有這樣子的低級錯誤發生呢?

此外,一般民眾作為網路世界使用者的一員,在密碼管理及保護的觀念上也是有著巨大風險而不自知。

原因是,大部分的使用者為了方便以及腦力無法背下太多不同的密碼組合,因此不論是註冊多少個各種類型網站,只要涉及需登錄一組帳號及密碼時,均使用同樣的一組密碼。你試想,如果今天你這組密碼恰恰好也用在臉書網站上的話,這次的明碼紀錄與洩漏,不就代表著你同時也洩露了另外曾經註冊過的數十個甚至數百個網站的登入密碼嗎? 你來得及去變更那些網站的每一組密碼嗎?

昨日臉書的新聞事件,帶給企業及個人的啟發是什麼呢?

資訊安全管理範疇上有知名的 ISO 27001 國際標準,或是 COBIT 的國際標準,企業早已有這些最佳實務方法論的做法可以依歸並採用。密碼外洩會對公司信譽造成損失也會對客戶造成損失,因此需謹慎認真面對使用者帳號密碼存放管理方式。除了制度的導入之外,更應安排獨立的稽核或監控單位,站在獨立客觀的角度監控公司的資訊安全制度落實實務狀況。

對一般使用者的建議是,開始使用密碼管理工具,在每一次註冊帳號密碼時,都使用不同的密碼。這樣做的好處是,當其中一個網站的密碼外流之後,那組密碼與其他上百個網站的密碼也不一樣,因此不會危害到我們另外的網站帳號。此外,對重要代表我們身份的網站,例如臉書帳號密碼、電子郵箱帳號密碼,我們更應該開啟兩段式驗證的功能,利用手機驗證碼作為第二道防線,更能確保假使發生密碼外洩後,我們的身份也不會被盜取利用。

結論

在現代的社會科技演進過程,我們生活在實際空間與網路空間的虛實整合越來越密不可分,我們常常仰賴著知名網站的帳號身份與我們的朋友、同事互動;用這個帳號身份發言,也代表著我們實體社會上的個人言論。因此我們更應該要開始使用密碼管理工具妥善管理密碼,讓這個虛擬身份被盜用的機率降到最低。

此文投稿同步刊登於 INSIDE - 社群媒體、行動網路、行銷、技術、創業 數位媒體網站
https://www.inside.com.tw/article/15876-facebook-password

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *