一次性密碼(OTP)和雙重登入認證是現時保護帳號的常用手段,不過如果在你並未正在嘗試登入的情況下,收到有關密碼或要求輸入密碼,就可能代表有人正嘗試駭入你的帳號,學會作出適當判斷和正確應對,可大大提升守護自己帳號的機會。
為何會突然收到或被要求輸入OTP?
- 正在駭入 – 黑客從某些方法取得、猜想或盜竊你的密碼後,然後正在嘗試登入帳號,你收到從服務供應商發出的正常訊息,因為有人正在嘗試登入。
- 準備駭入 – 黑客可能已取得或正借機誘騙你的密碼,在這種情況OTP訊息就是一種網絡釣魚,訊息以假亂真。
- 純粹錯誤 – 有時候網上服務會設定為要求先從短訊獲得確定碼,然後密碼或以單一碼進行認證,這種情況如果有人打錯電話號碼或電郵地址,你便可能會收到該密碼。
從以上所見,訊息背後可能有惡意動機,好消息是現階段並沒有無法挽回的破壞,採取適當行動更可避免麻煩。
收到碼破要求訊息的應對
最重要是如果訊息含有Yes或No的形式,不要點擊確定按鍵,不要登入(從任何地方),也不要分享收到的密碼。如果密碼要求訊息含有連結,更不要透過它前往網站。用戶應該適守最重要的守則:在不確定你的登入,你的帳號都安全,不過很有可能你的帳號密碼已經被黑客知道,所以下一步便是更改帳號密碼,手動前往有關服務的網址然後改更,不要遵循任何訊息內的連結,輸入密碼和新的確定碼(這很重要)才輸入,於密碼設定位置設定新的強力組合密碼,如果其他帳號使用相同的密碼,也需要對它們進行更換,這次謹記每個帳號調定獨一無二的密碼,有需要可通過密碼管理員的協助進行。
在這個階段更換密碼並不緊急,無需匆忙地進行,不過也不宜拖延,對於有價值的帳號(例如銀行),攻擊者可能會嘗試攔截經由短訊發送的OTP,所以要趕在黑客行動之前更改密碼,總括而言,經由短訊發送的OTP的可靠性比認證app或USB token低。
收到大量OTP請求的應對
黑客為嘗試迫使用戶確定登入,黑客可能會以OTP轟炸用戶,他們不段嘗試登入帳號,希望用戶有一次「失手」點擊了確定,或前往服務關閉煩人的2FA認證,所以保持冷靜和不做多餘的事最為重要,然後手動前往服務網站盡早更改密碼,在此將會收到一個你自己要求的正常OTP,有部份認證(例如Google)會發出警告通知,提供「No, it’s not me」按鍵,通常點擊後系統便會自動封鎖攻擊者和任何新的2FA請求,另一個治標的方法是把電話設定到靜音甚至是飛行模式半個小時,以避開當時的短訊轟炸。
意外確定陌生人登入的應對
這是最壞的情況,就像你容許攻擊者進入你的帳號一樣,攻擊者可以快速更改設定和密碼,所以你需要與黑客比速度,補求方法可參考這裡。
保護自己的方法
對一般用戶而言,密碼組合的複雜性直接影響著帳號的安全,不過現代人帳號太多,難以記住所有密碼的話,可以借助密碼管理的工具,再加上Google Authenticator的雙重認證,提供進一步的防護,此外,個人文件也需要妥善的儲存,例如護照掃瞄和個人照片,對文件進行加密使存取人只有自己一個。而登入憑證、儲存文件等會存放於不同裝置,例如電腦、電話或平板電腦等,丟失裝置連同內裡的資料也會失去,通過備份可以從新裝置重新取得相關資料,但謹記需要以一條只記在腦袋中的密碼去進行保護。
資料來源:Kaspersky Blog
