密碼金鑰
」 Google
駭客入侵Google!25億Gmail用戶個資恐外洩 專家教5招自保
國際駭客組織ShinyHunters於今年6月成功入侵Google一個透過Salesforce雲端平台管理的重要資料庫,竊取大量企業與客戶聯絡資料。由於此次資安漏洞可能影響高達25億名Gmail用戶,引發全球關注。目前,Google尚未對外公布確切受害人數,也未透露是否曾收到駭客勒索要求。根據《每日郵報》報導,駭客疑似透過社交工程手法,誘騙一名Google員工提供登入憑證,從而取得該資料庫的存取權限。雖然Google聲稱目前無證據顯示有用戶密碼外洩,但被竊取的聯絡資訊已被用於電話詐騙與釣魚攻擊,受害者可能因此帳戶遭盜用,甚至個資外洩。資安專家奈特(James Knight)指出,駭客已開始透過冒充Google員工的方式進行詐騙,使用650區碼撥打假電話,甚至傳送簡訊引導用戶重設密碼、提供驗證碼。他強調,「如果收到來自 Google 的語音或文字訊息,十之八九是假的,千萬不要輕信。」奈特也指出,駭客還利用盜得的Gmail名單進行暴力破解攻擊,嘗試輸入常見密碼如「password」登入帳戶。專家呼籲Gmail用戶立即採取以下資安措施:1、啟用雙重驗證(MFA):提升登入安全性。2、更換強密碼:避免使用簡單、重複或被外洩過的密碼。3、使用密碼金鑰(Passkey):提升身份驗證層級。4、進行 Google 帳戶安全檢查:檢視潛在風險與異常登入紀錄。5、保持警覺:勿隨意提供驗證碼,不要輕信任何「來自Google」的來電或訊息。此外,駭客此次還利用「懸空桶(Dangling Bucket)」攻擊法,從過時或未封鎖的Google Cloud存取點切入,植入惡意程式或竊取更多資料。目前Google尚未對外公布確切受害人數,也未透露是否曾收到駭客勒索要求。發言人Mark Karayan拒絕進一步回應。奈特提到,雖然Google長年投資資安系統,並曾收購資安公司,但此次 Salesforce資料庫的漏洞仍令人震驚,「這些 email 資料對駭客而言如同金礦,他們可能已藉此獲得龐大利益。」他提醒所有網路用戶,「駭客會不斷透過大量測試與釣魚手段,試圖入侵帳戶。保持高度警覺,是防範詐騙的第一步。」
增加安全性又簡化登入流程 Google力推「Passkey密碼金鑰」
一般而言,我們在登入帳號的時候,主要都是要輸入帳號、密碼,有時候為了增加安全性,甚至還有可能要輸入簡訊、OTP驗證碼等兩段式驗證,甚至有時候還會被要求去過往登入過帳號的裝置進行驗證,一層一層疊加上來,可以說是萬分麻煩。而如今,Google準備力推早已問世許久的「Passkey密碼金鑰」,透過這項功能,不僅能增加帳號的安全性,還能有效地減少登入時的繁瑣流程。根據媒體報導指出,目前在Android系統上,Google已開始大範圍的啟用「Passkey密碼金鑰」的功能。所謂的密碼金鑰,指的是使用裝置的解鎖機制,像是掃描指紋、顏面辨識,或是輸入PIN碼、劃出解鎖圖案等方式,以此來登入Google帳戶。而一些有支援使用Passkey的網站、App,當需要輸入密碼的時候,也可以使用Google的「Passkey密碼金鑰」功能,透過生物辨識系統來進行登入。此舉不僅能有效的降低登入時的繁瑣流程,也可以不用輸入密碼,甚至還能有效的提高帳號的安全性。報導中提到,目前Google是分階段的開始推出「Passkey密碼金鑰」的功能,Android系統使用者可以將自己行動裝置的Google Play更新到最新,接著到設定中的「安全性隱私權」來查看,從Google自動填入功能的Google密碼管理器進行確認,如果有取得這項功能的話,就會在選項中看到。相對的,如果用戶不想使用的話,也可以手動關閉該項功能。
不用密碼! Google推「Passkeys」登入速度快40%
Google在今年5月時推出了「Passkeys(密碼金鑰)」,該功能是一種不需要密碼的登入方式,官方宣布,未來預設的登入會改為此方式,將比傳統密碼快上40%。Google、蘋果、微軟等,透過FIDO聯盟發布,以Passkeys為新的驗證身份方式,取代數字、字母搭配的傳統密碼,改以內建指紋、臉部辨識,或是螢幕解鎖Pin碼等進行驗證,此項新方式更能避免密碼因為儲存在雲端中,而遭網路釣魚竊取。Google表示,11日開始登入Google帳號後,預設的選項都會是Passkeys,並非再需要用戶輸入密碼,且會導引用戶創建專屬的Passkeys,從簡登入流程,比起傳統輸入密碼快40%。目前已許多平台開始採用Passkeys,包含微軟、蘋果都已經支援,Google將會慢慢拓展至YouTube、Google Maps等平台,而Uber、eBay、WhatsApp將在近期加入。Google補充,新技術需要一段時間才會讓大眾習慣,因此傳統密碼登入方式仍會保留,用戶也可以在Google帳號中的「安全性」選擇關閉「僅在必要時才輸入密碼」,暫停使用Passkeys。