噗浪技術部🛠
@plurkwork
Sat, May 9, 2020 4:43 PM
873
667
每年五月的第一個星期四是世界密碼日 (World Password Day),技術部藉這個機會再次跟大家宣導注意帳號密碼的安全
1. 千萬不要在不同網站之間共用帳號密碼,至少要變化幾個字
2. 不要使用字典中查詢得到的單字當作密碼,最好有特殊符號,也可考慮讓一些密碼管理軟體來協助增進密碼複雜性
3. 如果不想使用太難記的密碼,請務必開啟
雙重身分認證
保護帳號安全
共用帳號密碼是最需要避免的,如果每次註冊新的網站都是用同一個帳號密碼,一旦某一個網站發生密碼洩漏事件,在網路世界所有其他網站的帳號都會陷入被盜用的危險。
噗浪技術部🛠
@plurkwork
Sat, May 9, 2020 4:44 PM
Sat, May 9, 2020 4:45 PM
最近有一些噗友反映被許多長久未上線的帳號按讚,然後那些帳號都疑似被盜用,張貼廣告連結在噗文或關於我裡面。
噗浪技術部非常重視這些盜用事件,經過詳細檢視,幾乎每一個被盜用的帳號,其 email 都可以在
have i been pwned?
這個網站中查詢得到,這代表這個 email 及密碼曾經因為其他網站的資安事件而洩漏過。
在這個危險的網路世界中,其實帳號曾經被洩漏過並不稀奇,這些被盜用的帳號最大的問題是在不同網站之間共用密碼,因此會被許多國外的有心人士利用這些洩漏的帳號密碼去嘗試不同的網站,看能否成功登入,如果成功就會被用來發廣告訊息盈利。
提醒大家:
千萬不要在不同網站之間共用帳號密碼
,重要的帳號一定要啟用雙重身分驗證或兩階段認證。
掰噗~
@baipu
說
Sat, May 9, 2020 4:44 PM
不是吧?
蘇州™
@Takahashi_65
Sat, May 9, 2020 4:45 PM
噗浪也是有蠻多政治人物在用的,不知道噗浪有沒有打算支援 FIDO
Hey Man BOT
@hmystgot
Sat, May 9, 2020 4:45 PM
孫タコ@S.Tako
@nps119
Sat, May 9, 2020 4:46 PM
我是口罩
@dyjh970207
Sat, May 9, 2020 5:00 PM
借串問這幾天噗浪時有卡爆的狀況
有相關公告或說明嗎
WK
@SSWilsonKao
Sat, May 9, 2020 5:13 PM
關於 2.,技技有聽說過 NIST 的 password guideline 已經改了嗎?
NIST Password Guidelines and Requirements | SolarWin...
中央西門風痕影
@hit1205
Sat, May 9, 2020 5:17 PM
正想說樓上這個 XD
呱呱呱呱
@penguinfuko
Sat, May 9, 2020 5:18 PM
推薦 bitwarden ~
遇到新網站就戳一下內建的亂數密碼,然後在讓他存起來~
☆冷冷líng-líng☆
@s28170604
Sat, May 9, 2020 5:18 PM
我是口罩
: 之前好像有看到技技在哀號伺服器炸了(所以噗浪變很卡),但是我不確定是不是到現在還是一樣的原因
羽奈(はな)
@sjhana77
Sat, May 9, 2020 5:24 PM
特殊符號不難啦 加在字碼與字碼中介也很容易記起來
WK
@SSWilsonKao
Sat, May 9, 2020 5:24 PM
中央西門風痕影
: 我個人完全覺得那些還在要求什麼大小英數兼具但又限制密碼長度的網路服務全部應該下架,還把人當機器看真的非常落伍。用 password manager 應付就算了,但可以的話,分明應該要推廣在重要的服務(跟 manager 的主密碼本身)用 diceware 之類的方式生產 passphrase,安全跟人性化兼具。
噗浪技術部🛠
@plurkwork
Sat, May 9, 2020 5:24 PM
WK
: 這個我們知道啊,所以在噗浪我們不會強制密碼一定要大小寫混合或包含數字及符號,但還是建議密碼不能太簡單啊。
我們之前某次曾經遇到大量被盜用帳號的情形,經過查詢那些帳號的密碼都跟 email 前半部相同。目前噗浪只有擋掉某些被判定非常不安全的密碼,並沒有太要求密碼複雜性
羽奈(はな)
@sjhana77
Sat, May 9, 2020 5:25 PM
WK
: 你這樣說幾乎政府機關的資安部門通通都要換下來了XD
WK
@SSWilsonKao
Sat, May 9, 2020 5:30 PM
噗浪技術部🛠
: 讚讚,有沒有興趣在申請帳號或在這些被盜用的帳號需要 reset(假如願意給用戶這機會的話)的訊息中,加這一段生產安全密碼的簡介啊?
羽奈(はな)
: 根據我之前跟他們打交道的經驗,我確實很想把他們換下來,包括行政院資安處的不少人。(不過並不是因為密碼的事情。)
なくはなかったー!★馬修
@bluebell1996
Sat, May 9, 2020 7:57 PM
我今天才知道PLURK也可以用OTP做雙重身分認證了
teddy 🏐
@teddy0904
Sat, May 9, 2020 9:03 PM
之前看到有人說不應該用亂碼密碼,因為使用者難記、電腦也不會猜不到,反而要用隨機英文單字加起來當密碼 (avaitionpandemicinfluenceventral之類的)使用者把單字串連起來就能記住、位數更多電腦也更難猜,大家怎麼看🤔🤔🤔
アルターエゴ mode LPH
@progheal
Sat, May 9, 2020 9:24 PM
teddy 🏐
: 如果是人要記的話那
correcthorsebatterystaple
確實比較好; 如果你是要使用任何一種密碼管理軟體的話那就交給那些軟體產生就好, 畢竟不是你在記
睡眠充足者
@xyz12745
說
Sat, May 9, 2020 9:30 PM
但是確實有一種猜密碼的方式是以常見單字為組合下去跑的。重要的就是要有密碼安全等級的意識,按造重要性去安排合理的密碼強度等級(像是你不需要再隨手註冊來拿個什麼獎勵的帳號上用上太過複雜的密碼、但你確實應該在涉及信用卡資料的時候用上強度較高、較為複雜晦澀的密碼) 另外將幾個單字轉變為特殊符號確實是很棒的增強安全性的手段,可以打破常規單字的組合並且也不會難以記憶,有效的運用了人類發達的聯想力與容錯力
睡眠充足者
@xyz12745
說
Sat, May 9, 2020 9:33 PM
另外一個簡單的提高安全度的方式是你在密碼中使用單字的時候刻意的將你的鍵位往右/上或任意自己習慣的方向一格。這樣可以很輕易地打破所有原先有可能被熟識的人輕易猜中的東西,例如你的生日或電話號碼、或者你最喜歡的單字。總歸來說,記憶性跟安全性是必須被兼顧的,畢竟如果你的密碼都必須靠手寫在便條紙上才記得住的話他反而不會提高你的安全性
アルターエゴ mode LPH
@progheal
Sat, May 9, 2020 11:47 PM
睡眠充足者
: 你的這些觀念 (單點替代符號、刻意規律性移位等) 其實正好是我引的那篇漫畫想要打破的: 這些小變化要電腦搜尋是很簡單的, 但人腦卻很難記住我在什麼地方用過了什麼樣的變化; 而就算是常見單字, 只要你確實是找了四到五個隨機單字組合而成的話, 那個變化量就算你有常見單字表拿來暴力搜尋都會花費非常久的時間
アルターエゴ mode LPH
@progheal
Sat, May 9, 2020 11:51 PM
注意到那篇漫畫裡把每個單字的複雜度估算為 11 位元, 也就是抓這些單字大約是從一個有兩千個單字的字庫取出來的來計算; 兩千個單字的字庫是足夠包括一些常用和不那麼常用的單字的
連羽⚔
@rr1144666rr
Sun, May 10, 2020 12:37 AM
我以為台灣人都會用注音密碼(?)
エイジーズ泡芙(๑╹▽╹๑)🍒
@puffbox
Sun, May 10, 2020 3:04 AM
「唉呀!你的密碼應該要有大寫英文和數字」密碼專家:拋棄這種規定吧 | DQ 地球圖輯隊
剛好前幾天看到這篇給大家參考
黑糖麻糬
@aidsooaaa
Sun, May 10, 2020 3:28 AM
我覺得打CP名比較難猜一點
千千匝
@nata317
Sun, May 10, 2020 5:33 AM
雖然知道在不同網站之間共用帳號密碼很危險,但常常光是社交網站和購物網站加起來就有二三十組帳密了,不用同樣的根本記不起來,要用公用電腦登入時也無法用讓電腦記住密碼的方式記,不知道大家都是怎麼解決這困擾的?我只能一直按忘記帳密重新驗證,但就超級麻煩
whatai
@whatai
Sun, May 10, 2020 6:25 AM
Sun, May 10, 2020 6:26 AM
千千匝
: 我是有一組固定的9碼密碼(非字典字)用在google 前後就加GOOGLE 跟各種數字 用在iCloud就加APPLE 這樣不重複也好記 加總起來長度超過12碼
吾皆娑婆 三千鴉殺浮屠之影
@surname_chikamui
說
Sun, May 10, 2020 8:28 AM
Sun, May 10, 2020 8:30 AM
我遇到的不是帳號被盜
吾皆娑婆 三千鴉殺浮屠之影
@surname_chikamui
說
Sun, May 10, 2020 8:30 AM
evasions
singyu1213
m72301309
antoi0520
davidrachlin
吾皆娑婆 三千鴉殺浮屠之影
@surname_chikamui
說
Sun, May 10, 2020 8:30 AM
chienyu2305
gaudinez8
yansy102
dbla921
shaowei
@belleuve
說
Wed, May 13, 2020 4:02 AM
推薦管理密碼軟體是?
班奈特
@BennettN5
說
Wed, May 13, 2020 4:48 AM
shaowei
: 一隻筆 一張紙 記起來 放抽屜
WK
@SSWilsonKao
Wed, May 13, 2020 6:05 AM
Wed, May 13, 2020 6:13 AM
shaowei
: 我個人推薦 KeePass,開源甚至還支援 YubiKey,產生密碼時選項也不少。(我自己是用 Mac 版本的 KeePassXC。)但我不清楚有沒有手機版能用。
zsupper
@zsupper
說
Wed, May 13, 2020 9:32 AM
只這樣也不一定安全,之前噗浪也發生過社交工程詐騙,幾個笨蛋把帳號給人冒充,早晚會跟上官司
星辰💫θωθ
@naomi_owl
Thu, May 14, 2020 5:55 AM
偷偷說全掛了,連以前的噗文都找不到
ㄚ璇✨顧胃人生
@judyhsuan1220
說
Thu, May 14, 2020 5:56 AM
偷偷說爆炸了QQ
我是口罩
@dyjh970207
Thu, May 14, 2020 5:56 AM
我先猜繼續裝死
阿式
@polly1005
Thu, May 14, 2020 6:02 AM
應該等一會就會修好
我是口罩
@dyjh970207
Thu, May 14, 2020 6:40 AM
修好是一定要修好
但是官方近來出包連連又把使用者視如草芥的態度才是最該修的問題就是了
chchwy
@chchwy
說
Fri, May 15, 2020 3:01 AM
我自己用 LastPass 管理密碼,個人推薦還不錯用
༄⁎
@yune110
Thu, Jun 11, 2020 9:51 AM
看到上面那個網站後去查了一下我一個登不進去的電郵後有被查到...
沐紬✻玄奘的Marlboro
@glorialee24
Thu, Jun 11, 2020 10:12 AM
每個網站不同密碼這點真的難(躺下來
沐紬✻玄奘的Marlboro
@glorialee24
Thu, Jun 11, 2020 10:14 AM
連羽⚔
: 注音密碼真的超好用,至少除了台灣人,沒有人會
黑糖麻糬
@aidsooaaa
Thu, Jun 11, 2020 10:35 AM
可惜注音密碼手機不適用啊……
呱呱呱呱
@penguinfuko
Thu, Jun 11, 2020 3:24 PM
shaowei
: bitwarden
呱呱呱呱
@penguinfuko
Thu, Jun 11, 2020 3:25 PM
沐紬✻玄奘的Marlboro
: 用密碼管理器,然後注音密碼已經被注意到惹。真的要用,建議是把四五組不相關意義的單字放在一起。
沐紬✻玄奘的Marlboro
@glorialee24
Thu, Jun 11, 2020 3:54 PM
呱呱呱呱
: 嗷……原來如此,未來會考慮密碼大改的(抹
載入新的回覆
1. 千萬不要在不同網站之間共用帳號密碼,至少要變化幾個字
2. 不要使用字典中查詢得到的單字當作密碼,最好有特殊符號,也可考慮讓一些密碼管理軟體來協助增進密碼複雜性
3. 如果不想使用太難記的密碼,請務必開啟 雙重身分認證 保護帳號安全
共用帳號密碼是最需要避免的,如果每次註冊新的網站都是用同一個帳號密碼,一旦某一個網站發生密碼洩漏事件,在網路世界所有其他網站的帳號都會陷入被盜用的危險。
噗浪技術部非常重視這些盜用事件,經過詳細檢視,幾乎每一個被盜用的帳號,其 email 都可以在 have i been pwned? 這個網站中查詢得到,這代表這個 email 及密碼曾經因為其他網站的資安事件而洩漏過。
在這個危險的網路世界中,其實帳號曾經被洩漏過並不稀奇,這些被盜用的帳號最大的問題是在不同網站之間共用密碼,因此會被許多國外的有心人士利用這些洩漏的帳號密碼去嘗試不同的網站,看能否成功登入,如果成功就會被用來發廣告訊息盈利。
提醒大家:千萬不要在不同網站之間共用帳號密碼,重要的帳號一定要啟用雙重身分驗證或兩階段認證。
有相關公告或說明嗎
遇到新網站就戳一下內建的亂數密碼,然後在讓他存起來~
我們之前某次曾經遇到大量被盜用帳號的情形,經過查詢那些帳號的密碼都跟 email 前半部相同。目前噗浪只有擋掉某些被判定非常不安全的密碼,並沒有太要求密碼複雜性
羽奈(はな) : 根據我之前跟他們打交道的經驗,我確實很想把他們換下來,包括行政院資安處的不少人。(不過並不是因為密碼的事情。)
我覺得打CP名比較難猜一點但是官方近來出包連連又把使用者視如草芥的態度才是最該修的問題就是了