Blog 42 — 當網站個資外洩時，我們可以採取甚麼行動？

朱騏

Published in

生活實驗室

6 min readOct 4, 2020

前言

今天在Facebook上看到一則關於個資外洩的新聞，跟大部分的年輕人有很大的相關，因為是人力銀行的個資外洩！

經過查證後，是「104人力銀行」的資料庫在中秋節前夕遭中國駭客攻擊，有592萬筆個資外洩，並在「暗網交易論壇」以 500 或 1000 美元出售，個資包含求職者身分證字號、姓名、出生日期、手機、電子信箱等。

人力銀行592萬筆個資遭中國駭客侵入暗網上公開出售恐影響國安 - 社會 - 自由時報電子報

「暗網」中由中國駭客設置的「暗網交易論壇。（社會新聞中心翻攝） 2020/10/04 14:21…

news.ltn.com.tw

求職個資傳遭駭 104人力銀行：已報案清查中 | 生活 | 中央社 CNA

（中央社記者吳佳蓉台北4日電）媒體報導國內人力銀行遭駭客入侵，盜取求職個資並在中國暗網出售；104人力銀行表示，初步了解，疑為2013年遭非法入侵的外洩資料，今天已向調查局報案，遭盜個資筆數，目前清查中。 ...

www.cna.com.tw

身為這些網路平台的使用者，雖然對網站後台的資安無法使上太多力，但我們可以做好自己該做的事情：

馬上更換密碼，並將密碼設定到強度最高。

個資外洩，網友都說些什麼？

當新聞在昨天（2020.10.03）下午報出來時，網友的回應多半是「網路上隨便查都查得到～」、「又發生了，之前是某政府機關才被駭…」。看起來大家的反應都已經司空見慣，但也證明 “個資外洩” 這件事情在我們生活有多容易發生！

網站個資外洩跟我有什麼關係？

從這則新聞讓我想到：「我的個資是不是在其他網站也可能已經外洩了？」於是我使用了「have i been pwned?」這個網站做檢測，此網站收錄這幾年來被駭客竊取、公佈在網路上的名單資料，我們輸入自己的 E-mail，可快速比對這些被竊取的資料中有沒有自己的個資。

從下圖可知，我的 E-mail 已經在某些網站被外洩了…，名單有000webhost、Armor Games、Dropbox…等知名網站（目前此網站僅收錄國外知名網站）。

如果你有發現自己的個人信箱常收到 “更改密碼要求”、“嘗試登入”…等相關信件，就要留意是否自己的帳號已經外洩。我自己就不斷收到 Blizzard 的 “更改密碼要求”，頻率約 2–3 週就有人在嘗試使用我的帳號登入遊戲。

保護好自己，個人外洩時應該趕快處理

更改密碼的訣竅

不論是透過「have i been pwned?」、或是個人信箱收到奇怪的驗證信，當我們發現自己的個資外洩時，下一步行動就是「趕快去改密碼」！

改密碼有什麼訣竅嗎？要讓駭客無法輕易破解自己的密碼，最重要的原則就是：

把密碼改成網站允許的最大長度，並且使用數字、大小寫字母的組合。
一個16位長度，只由數字和字母組成的密碼，安全性就遠比一個只有8位長度，由字母，數字，符號組成的密碼更高。

為什麼密碼長度愈長就愈安全呢，這邊我們要稍微理解駭客破解密碼的流程。

駭客拿到了這些包含用戶名和密碼的資訊後，會用設計得比較好的字典暴力破解。也就是擁有計算機的算力，嘗試總是可能，碰巧破解了就是運氣。這個動作在駭客口中，叫“撞庫”。

字典，是駭客必備的工具，裡面按照優先順序紀錄著可能的密碼組合，只要是高頻率使用的密碼，駭客就會先撞。我們以 NordPass 的《Here Are the Most Popular Passwords of 2019》舉例，你有發現自己的密碼出現在這份清單中嗎？

更改密碼的建議

這邊提供兩種方法來更改高強度的密碼：

1.利用工具

網路上有許多密碼產生器，例如這款「ez2o」可以設定密碼長度、組數、密碼類型來產生符合網站要求的高強度密碼。

但這種工具有個缺點，就是密碼複雜到自己也難以記住，記在記事本上也可能有遺失或是被偷看的風險。因此可以使用如「KeePass」這種單機版密碼管理軟體，保管在自己的電腦中。

2.利用聯想法，增加原密碼的前綴與後綴

一般人在設定密碼不外乎是生日、姓名、電話…等，駭客如果拿到我們的基本資料就容易破解。另外一種方法保持原有的密碼 (例如手機號碼)，在各家網路平台加上前綴與後綴。

例如在 PChome 上設定密碼，原密碼為「0912345678」，增加前後綴為「PC0912345678home」為新密碼。

另外一種方式是找到一個對自己有意義的詞，使用注音拼音當作前後綴，例如我使用「新北 + 板橋」，原密碼為「0912345678」，增加前後綴為「vup 1o30912345678103ful6」為新密碼。

註：即「新北0912345678板橋」

最後，趕緊行動吧

看完以上的建議，如果你在104上有註冊帳號，建議趕快更改。同時利用「have i been pwned?」檢查是否還有其他網站遭到外洩，如果有就趕緊重設密碼！

“網站密碼像是你的保險鎖，你不時常檢查與更換，駭客就能輕易闖空門。”

延伸閱讀

► LastPass, KeePass, 1Password 三大密碼管理軟體功能比較表 by 電腦玩物

我是朱騏，一個渴求新知、熱愛學習的產品經理。也是一個喜歡研究各種生產力工具、熱愛將專案管理知識應用在魔術學習上的魔術愛好者。如果有任何疑問、想聽的主題，歡迎留言給我 📒你會看到這篇文章是因為我在進行365天寫作挑戰，詳情可參考《365天寫作挑戰第二季，關於寫作的新想法》。如果想給我一點鼓勵，請給我 1–10 個拍手；
如果覺得文章對你有幫助，請給我 10–40 個拍手；
如果你覺得文章寫的不錯，請給我40+ 個拍手讓我知道 👏🏻如果有任何想閱讀的主題請留言分享給我。 最後，謝謝你的閱讀！喜歡我的文章，可以點擊下方「Follow」我～| LinkedIn @ Chi Chu 歡迎交流