吳明宜 |
微軟週一宣佈強化 Hotmail 郵箱服務安全性,可有效遏止 Hotmail 被駭客攻擊。
微軟安全服務總經理 John Scarrow 指出,「不久以前,駭客攻擊只限於金融服務網站。」但現在,此類攻擊每年攻陷數百萬個帳號,還不包括這些帳號中的聯絡人。「這種身份竊取事件造成使用者和服務每年數以十億計的損失。」
這類攻擊手法很簡單:駭客取得某個帳號權限—或許是數個月或數年未用的帳號—然後就發信給通訊錄裡的聯絡人開口要錢。內容可能是寄信人在英國度假時被搶,急需錢來支付帳單,就可以藉此騙到金錢。
為了防止此類攻擊,微軟表示將採取多項步驟,包括主動清除受駭帳號的駭客,對被垃圾郵件濫用者的網域採取法律行為,現在,更進一步強化 Hotmail 的安全性。最簡單的像是,使用公用電腦時,Hotmail 使用者需輸入送到手機內的一次性密碼。即使電腦藏有鍵盤側錄或惡意程式,一旦使用者登出後,其他人就不能再用同一密碼登入。
為了防止中間人攻擊,微軟現在使用 SSL 來為連線加密,今年內 Hotmail 所有連線都會以 SSL 加密。
如果你的帳號遭到攻擊,微軟也將提供兩道證明方式取回帳號。但 Scarrow 表示「只有 25% 的人在被問及認證的私密問題時記得答案。」
因此,微軟現在讓 Hotmail 使用者可將帳號綁在安裝有 Microsoft Live Essentials 的特定 PC 中。此外,如果使用者通報帳號被駭,他們也可以登錄手機號號來取得登錄的特別密碼。當然,使用者也可以選擇另外設立帳號或者私密問題。如果要修改防駭參數,就要登錄手機號碼或增加郵件位置。
最後,微軟還採用啟發式演算法以便追溯出帳號何時被駭。例如,為防止字典攻擊猜出登入密碼,如果登入幾次失敗後,Hotmail 現在將暫時不允許登入。至於次數,「要視 IP 位址使用的等級而定,」微軟表示。