2013年8月13日 星期二

網路入侵頻傳,日本IPA呼籲勿在不同網站使用相同帳密

網路入侵頻傳,日本IPA呼籲勿在不同網站使用相同帳密

日本最近發生多起網路服務遭非法登入的事件,多為有心人士將不明管道獲取的帳號密碼清單,以自動連續輸入程式一一到各個網路服務伺服器嘗試登入的結果。IPA指出,這種攻擊方式不論使用者在個人電腦上使用多麼強大的防毒軟體或防火牆都沒有辦法防堵。

日本資訊處理推進機構(IPA)發表8月份資安重點呼籲,指出不同網路服務應用不同帳號密碼才能保護個資,希望喚起日本民眾對自身帳號密碼的警覺心。

日本最近發生多起網路服務遭非法登入的事件,多為有心人士將不明管道獲取的帳號密碼清單,以自動連續輸入程式一一到各個網路服務伺服器嘗試登入的結果。在這之中只要有成功登入的帳號密碼組合,就會被選出來再嘗試登入其他網路服務,如果民眾習慣只用一組帳號密碼通行於網路世界中,個資很可能因此全部被竊取而不自知。

IPA指出,這種攻擊方式不論使用者在個人電腦上使用多麼強大的防毒軟體或防火牆都沒有辦法防堵,因為帳號密碼是由某個網路服務伺服器直接取得的,重要的是應該如何使用多組帳號密碼登入不同服務並妥善管理。

目前日本出現的被害狀況只是冰山一角,有心人士現在仍可能不斷的在嘗試以相同手法登入各個服務伺服器,因此絕不能因為沒有企業發表被害報告,就認為自己的帳號密碼是安全的。

一般民眾也許可以理解登入不同網站應該要使用不同的帳號密碼,但卻因為記不住、很麻煩等原因,仍然只使用固定的一兩組帳號密碼通行於網路世界中。因此,IPA提供可方便且安全管理多組帳號密碼的建議,例如將多組帳號密碼製作成列表式的檔案加密儲存,或是將檔案壓縮在附密碼的壓縮檔中。

如果帳號密碼登入的服務與金錢、信用卡資料有關,除了套用上述方式之外,IPA還建議進一步把帳號與密碼分開保存在不同檔案中,或是用手寫方式抄錄在個人筆記本中妥善保管,如此更加安全。

另外,當自己的帳號密碼證實遭非法登入後,為了防止被害狀況進一步擴散,民眾最好立刻變更密碼,並主動聯繫提供服務的企業了解後續相關賠償與處理狀況,若與信用卡或虛擬錢幣有關,也要立刻聯繫發卡銀行或負責的企業,與專業人士討論後續應對方法。

図1:利用者の観点から見た、パスワードリスト攻撃による被害のイメージ図

轉載自《iThome》