※ 引述《goodday5566 (好天五六)》之銘言: : 今天早上起來拿起手機 : 發現有一則通知 : 是Apple ID在聖保羅被要求登入 : 不過最近除了第一次嘗試用BTS買了台iPad外 : 從來沒動過我的Apple ID : 就算要登入也是用Face ID自動登入 : 也沒有手動輸入過我的密碼 : 看來今天下班後要來把我所有的密碼再更新過一輪了 兩個檢查重點 1. 密碼是不是很好猜? 例如:用 email 出現的單字重新組合的,或者是常用密碼如 p@ssw0rd 2. 有沒有在其他網站使用類似甚至相同的密碼? 尤其是用在那些看起來維護經費有限的小公司網站,或是為某些事情快速搭的短期網站。 如果有,那只要他們資料外洩,那你使用相同密碼的重要網站帳號就有可能被猜到。 密碼外洩的原因通常都是上面那兩點。 綜合來看,你會發現若要安全,那密碼一定要難猜且各站盡可能不一致, 再不然每個網站都要啟動多因素認證,不然早晚會有夠重要的帳號被攻破, 但這很不容易做到,畢竟現代人動不動就有幾十個網站的帳號, 而且有越來越多網站要求定期更換密碼,但每個網站都去做第二重認證也很麻煩, 於是最後往往又更難避免重複。 為解決這個問題,除了使用 Google、Microsoft 等帳號在新網站登入外, 一個好落實的做法是除了本來會要求多因素認證的重要帳號如 Google、Microsoft、Apple、金融機構和一些支付外, 其他不常用或未留交易資訊的帳號密碼全部用亂數產生, 然後使用密碼管理服務去記那些亂數密碼,等到要登入次要網站時, 再透過 mobile app、瀏灠器外掛等工具輸入密碼。 這樣不但可以取強度超高的密碼不怕人家猜到, 而且不管網站是否要求更換密碼也都不費神,可以說是兼顧安全與方便。 我是用 Microsoft 帳號記密碼,然後 Google 記認證碼,這樣就算 Microsoft 被盜, 駭客也缺乏足夠的資料登入有交易方法的重要帳號,進而能控制最壞情況下的損失。 網路時代人們動不動就是幾十個帳號,防盜工作真的很重要不容輕忽, 因此分享一點管理資安的方法供大家參考。 -- ※ 發信站: 批踢踢實業坊(web-ptt.org.tw), 來自: 118.167.21.1 (臺灣) ※ 文章網址: https://web-ptt.org.tw/iOS/M.1728149739.A.A3A
joseph0318: 用iOS 內建密碼管理就好 還有內建驗證器 不用另外開 10/06 02:19
joseph0318: 程式是複製驗證碼 但前提是Apple id千萬不能被盜 10/06 02:19
joseph0318: 而且用內建的有個好處 safari開不正確的網址 內建密 10/06 02:21
joseph0318: 碼管理程式不會跳出來要幫你自動填密碼 所以發現沒跳 10/06 02:21
joseph0318: 出來自動填寫 就會警覺是釣魚網站 10/06 02:21
Notker: 有人可以分析一下包養平台的差異嗎 10/06 02:21
littlewhite: 內建密碼好像不會存App的帳密,只會存在瀏覽器輸入 10/06 08:39
littlewhite: 的? 10/06 08:39
ansinlee: 回二樓 一樣可以 10/06 10:36
chualex66: 首選是通行密鑰(Passkey),再來是時間制兩步驟驗證 10/06 12:17
chualex66: (TOTP,也就是存在APP中每30秒會換一個的),再者是 10/06 12:17
Peycere: 那個包養網人最多XD 10/06 12:17
chualex66: 傳統2FA(寄簡訊或是Email),最後底線才是密碼管理器 10/06 12:17
chualex66: 管理所有網站的獨立密碼。 10/06 12:17
chualex66: 然後盡量不要把不同的驗證方法(例如TOTP和密碼)存在 10/06 12:19
chualex66: 同一個管理器裡,這樣會破壞兩步驟的意義。 10/06 12:19
chualex66: 然後連TOTP都有可能被釣魚,但Passkey因為公私鑰的設 10/06 12:24
vd422: 我妹上包養網被我發現= = 10/06 12:24
chualex66: 計不會被破,甚至可以做到完全無密碼。但關於這是什麼 10/06 12:24
chualex66: 原理我實在是不懂只能讓高手來解答了。 10/06 12:24