昨晚回到家,打開電腦,準備開始瀏覽新聞,照例打開 Evernote ,看看手邊待寫的題目,連線一段時間,右下角一直蹦出驗證不成功的訊息,本不以為意,嘗試按下「同步處理」後,竟然出現你的帳號/密碼不正確的通知,我這才知道事情大條了。
按下幾次密碼,無法進入 Evernote,我開始恐慌了,懷疑自己記憶密碼的能力,又本能認為從一開始我的密碼就沒有變過,應該就是那幾組常用的號碼之一。
試了好幾次後,我只好登入 Evernote Web 版,幸虧手邊有密碼管理軟體幫我記住登入,可是連進主畫面時間比我想像中慢了許多,心中七上八下,直覺 Evernote 是不是發生什麼問題了?
看一下各大國外科技新聞頭條,Evernote 在國外時間 2 月 28 日遭到疑似數名駭客入侵,已全面強制5000萬用戶重新設定密碼,連動影響所有 Evernote APP 。Evernote 在對外發佈的新聞稿中指出用戶帳號、Email 與密碼已被竊取,付費版用戶與企業用戶的資料則沒有被入侵跡象。
On February 28th, the Evernote Operations & Security team became aware of unusual and potentially malicious activity on the Evernote service that warranted a deeper look. We discovered that a person or persons had gained access to usernames, email addresses and encrypted user passwords. In our ongoing analysis, we have found no evidence that there has been unauthorized access to the contents of any user account or to any payment information of Evernote Premium and Evernote Business customers.
Evernote 可以第一時間向所有用戶發出警告通知,但是並沒有。從 28 號事件發生到現在,我沒有收到 Evernote 的通知,告訴我需要重新設定密碼,我得自立自強想出整件事不對勁的脈絡,按下「忘記密碼」,再由系統通知到信箱,我再登入重新設定。
承認有安全漏洞,並向用戶解釋並承諾解決,難道不是 Evernote 應有的態度嗎? 若一般用戶沒有察覺 Evernote 異狀,資料一直無法同步,無法連上伺服器,他就像我昨晚一開始先懷疑自己密碼問題,百思不得其解之後,只好轉而求助官網,才看到"Security Notice: Service-wide Password Reset" 文章,那時已經試過一次又一次密碼的人,這才知道原來是 Evernote 安全出問題,他完全被蒙在鼓裡,你想他會有多氣餒。
我真希望這是因為信箱擋信沒有收到正式通知所造成的誤解,如果你也是 Evernote 用戶,有收到更改密碼的通知,麻煩你告訴我,我誤會 Evernote 的誠信了。
在官方部落格這篇文章最後提到,請別用字典查得到的「簡單」拼字,不要使用你通行各大網站的同一組密碼,還有請上官網重設密碼,而不是照郵件去按下 reset password。
當然 Evernote 也不是第一家受到駭客入侵的網路公司,之前連臉書、推特、Google 的門戶都曾被打開,那些以破解程式為樂的人無不洋洋得意,走到哪一家後門像走進自家廚房一樣容易。程式就像是門鎖,打開一道是小盤小菜,加上兩道鎖,拉長被破解的時間,加越多道,系統通知不明進入訊號,提高安全警戒,已是各家網路公司必得密切留意的趨勢。Evernote 只有告訴你,安全密碼鎖的號碼請自己小心,至於它要提供幾道大門幫你把關,這點我可沒看到文章有提到。
發生 Evernote 這件事,我也瞭解真的沒有哪一家可以保證資料不會被入侵,自己先懂得不要讓密碼變得容易被駭,成了唯一自保的方式。
在我 2011年寫過「你的密碼強不強? 」可參考字母與數字重組的選擇,別讓自己的密碼被駭客輕易破解。
另外,如果你認真考慮不用一組密碼通行到底,首先請你別用生日號碼、英文名字做為密碼主要設定來源,並請時常更新。但密碼在千變萬換之下,想必以後登入讓你大傷腦筋了吧? 你別以為系統安全能萬無一失,既然能駭到這一次,難保下一次不會發生類似的災難,要是你老用「萬年密碼」,極有可能成為駭客第一波攻擊的對象。
如果你有密碼管理的煩惱,這時該好好找一個管家,幫你管理門戶,不妨參考國外這篇文章 "15 More Secure Password Management Tools";在密碼號碼設定前,你可參考這篇文章 "5 Password Generators for Maximum Online Security",幫你產生超級無敵猜不透的密碼,優點是難以被破解,缺點是難到你「絕對」記不起來,這時得出動密碼管家才有辦法打開。
希望大家能有密碼危機意識, 雖個人資料維護最終還是需要系統多設幾道安全驗證才能抵禦外患,但沒有墊高密碼安全層級,的確很容易成為駭客下手的攻擊對象。藉此事件我開始陸續重設幾個常用的網站密碼,重新擬定密碼策略,不和個人資訊產生相關連結,並輔以密碼管家,不定時更換密碼同時,做好管理備份,維護網路安全自我保護,避免突發狀況下成為可憐的「刀下殂」。
