有些網上服務和會員系統,為方便用戶忘記了密碼時可以再次登入使用,提供了密碼重設的機制。特別是電郵服務,因為這類服務不可以把密碼或者把重設後的資料用電郵通知用戶。
所謂密碼重設機制,通常是利用一些用戶的個人資料以問答的形式來辨認真正用戶。當用戶最初申請服務時,可選擇回答一條個人相關問題,例如寵物的名字。而若果用戶忘記了密碼,就可以利用此機制,回答問題後重新設定密碼。
一般用戶對於密碼的警覺性已提高了不少,不會利用簡單的組合和個人資料來設定。可是對於密碼重設機制,則可能未必有足夠的認識和戒心。或者害怕如果真的忘記了密碼,便不能取回帳號,所以會用真實的資料來設定。
今時今日不少人都參與社交網絡網站,有個人網誌甚至會玩 life-streaming,把自己一切公諸於世。而強大的搜索器,更可方便大家取得以上資料,就算你之後刪除了某些資料,也可能還有一個副本在搜尋器的數據庫。因此以個人資料作為密碼重設的方法,其實有相當的危險性。
美國共和黨副總統候選人佩林就是其中一個受害者。佩林有一個雅虎的電郵地址,黑客只利用 Google,找出她的出生日期、ZIP Code、和與配偶懈逅的地點,就成功重設了她的電郵密碼。可以想像,這些資料在網上很容易取得,就算你不是名人,也可能在 Facebook 或網誌上有上述的資料。有關佩林的電郵帳戶被入侵的事件,可參看《Palin E-Mail Hacker Says It Was Easy》。
你的電郵內未必有很重要的資料,但往往會有一些更吸引黑客的東西,例如你在其他網站的登入資料,令黑客可以越掘越深,令你的損失越大,真的不可小觀。
留言
寫下留言