Dropbox 被駭是真的,請趕快更換密碼


網路上新傳一篇文章 The Dropbox hack is real ,文章裡面描述 Dropbox 的使用者密碼加密規則已經被破解,可以被反解找到原密碼,作者收到料後親自進行驗證,他先找到自己的資料,經過查詢 1Password 是 2014 年修改過密碼,並以此進行測試,發現真的可以反向算出自己的密碼,接著他又用了自己太太的帳號再做一次,他太太用 1Password 管理與產生複雜度高的密碼,從 2012 年至今沒有更換過,結果一樣被反解出來,令他感到驚訝。

1. 如果你很久沒有更改過密碼,請趕快更換 Dropbox 密碼;
2. 看是否有其他服務使用與 Dropbox 相同的 EMAIL 帳號與密碼,也要一併更換;
3. 進入 Dropbox 斷開可疑的設備或不再使用的設備。
4. 如果可以就啟用二階段驗證登入吧。

這讓我想到另一篇說登入密碼應該都改用一次性驗證密碼做登入的文章(忘記在哪了),但是登入密碼透過 Email 發送的環境其實並不穩定, Gmail 的機器檢驗信件邏輯已經很高強了,依舊有可能誤判而收不到一次性密碼,手機驗證則是在跨國跨境、更改門號等等會是個問題。

我的做法是網路服務能用 Google 帳號登入的都改用 Google 帳號登入為主,然後 Google 帳號開二階段驗證或直接手機驗證,偏向是把壓力都放在 Google 帳號上;其他較大的網站密碼則都隨意亂設並且在登入時選擇記憶密碼,如果網站的記憶密碼功能過期、自己忘記、或在外面會臨時用到,則直接重設密碼,等回到信任環境內再重新亂設一次,大概只能做這樣的事情,或是有其他更好的辦法嗎?