《詐騙交鋒》:我們都會認為密碼可以保護我們的安全,但太天真了

《詐騙交鋒》:我們都會認為密碼可以保護我們的安全,但太天真了
Photo Credit: Shutterstock / 達志影像

我們想讓你知道的是

為什麼密碼機制無法防治資料外洩?又是基於什麼原因,所以無法遏止網路犯罪?

文:法蘭克.艾巴內爾(Frank W. Abagnale)

為什麼我們該捨棄密碼機制?

一星期之中,或是一天之中,我們為了使用某個網站或登入網路帳號,得輸入多少次混雜了數字、字母、符號的密碼?我自己是數不清。我們都會認為密碼可以保護我們的安全,但太天真了,密碼根本就無法保護我們不被駭客攻擊,也無法確保我們在網路上的資料不會被看到,所以我認為應該要廢除密碼機制。密碼機制早就過時了,毫無功用,只是徒增消費者的困擾,而不是保護消費者。

看看我們手邊的科技產品與服務,有iPhone、網路銀行、線上購物、Google、智慧電視等等,全都不是在一九六○年代發明的產物。可是,目前最廣為採用的安全機制——帳號與密碼——卻是在一九六三年設計出來的,這可是超過半個世紀之前的發明。密碼的發明和設計本來就不是用來追求高度安全性,起初的目的是為了保障每位使用者在同一臺電腦上的使用時間長短,也就是所謂的電腦共享,而密碼機制可以讓每個人讀取到屬於自己的文件、網頁搜尋和對話記錄,讓共享電腦成為「個人」電腦。

進入網路時代後,消費者對於密碼的使用也習以為常了。大家現在為了獲取個人資料和登入個人的網路服務,而廣為使用的帳號密碼機制,起初就不是設計來保護我們的,所以到了現在也仍舊無法保護我們。時至今日,隨處可見的密碼機制也迅速演變成致命的弱點。密碼機制的發明人是南多・柯巴托(Fernando Corbato),現年九十二歲(已於二○一九年七月離世),就曾指出密碼已經「變成網路世界大戰的噩夢了」。

麥可・謝爾托夫(Michael Chertoff)於二○○五至二○○九年間,出任國土安全部部長一職,也於二○一六年在CNBC消費者新聞與商業頻道節目中,表示贊同此一觀點,他說道:「細究重大資料外洩事件,不難發現有一個共同點:每一起『重大頭條』資料外洩事件,攻擊的媒介正是常見的密碼機制,原因很簡單:密碼機制是資訊安全中最弱的一個環節。」我同意這樣的說法,也同意謝爾托夫指出下一步就是要擺脫密碼機制,「取代密碼機制這件事情應該列為國家的當務之急,政府當局可以召集相關產業和機關團體,一起採用安全性較強的解決方案,這樣才能擺脫密碼機制下的資料外洩事件。」

為什麼密碼機制行不通

為什麼密碼機制無法防治資料外洩?又是基於什麼原因,所以無法遏止網路犯罪?其中一個原因是靜態密碼:長期在不同的平台和帳號使用同一組、未曾變更過的密碼。每當有大型資料庫被駭客攻擊,常會見到其他公司行號或網路平台也會跟著發生資料外洩事件,而串起這些意外的關鍵就是:一組密碼。

假設你要從銀行帳戶把錢轉出去,你當然希望銀行只在你本人提出需求的時候,才進行轉帳,如果是詐欺犯提出的要求,自然不要照辦。那麼,如果你只是用靜態的認證機制來證明身分的話,例如密碼,銀行要如何分辨真的是你本人,還是其實是在網路假扮成你的「假面惡魔」呢?如果駭客利用網路釣魚、惡意程式、資料外洩等手法,取得你的密碼,那就等於拿到通往你財務大門的萬用鑰匙了。同樣的,你的私人醫療資料也是如此,如果你想要看到專屬於自己的個人紀錄,你得先向醫療院所證明身分,但若僅是使用一組靜態密碼來證明的話,對方很難百分之百確定真的是你本人。

如果你認為——就像大家一直在講的——設個長一點、複雜一點的密碼,並時常變更,就會很安全,那可就大錯特錯了,因為就算這麼做,也還是沒辦法改善密碼機制的問題。數位鑑識專家辛姆森・伽芬凱曾表示:「密碼的長度與複雜性都無法提升其安全性,那只是組織單位用來展現他們很在意資安問題的說詞而已!」二○○八年起,有項學術研究發現,長一點的密碼並無法有效提升安全性。一般來說,變更密碼只是把幾個常用的密碼組合交換使用罷了。

網路罪犯一般都不是靠自己去猜出密碼,而是用偷的,可能是從大型組織單位竊取大批資料,可能是監看公用無線網路盜取資訊,也可能是利用電子郵件或惡意程式的釣魚攻擊手段,另有可能是利用程式來破解密碼。我們通常都會被告知不要使用搜尋得到的資訊來設定密碼,譬如:母親娘家的姓氏、寵物的名字、小時候住的街道名稱等等。不過,就算是隨機組合而成的字母、數字、符號,也不見得就會比較安全,因為罪犯採取的是上述提到的資料偷竊手法,而偷取長又複雜的密碼或短又簡單的密碼,其實難易度是一樣的。況且,要背起來又長又複雜的密碼其實很難,但寫下來又有安全上的疑慮,使用密碼數位「管理」軟體又很麻煩。

困在不同的密碼層級裡

在此把密碼機制分為五層,而我們一般人都還困在第一層。

  • 第一層:靜態或「通用」的帳號和密碼(每個網站都使用同一套帳密,鮮少變更),我們大多數人都還卡在這一層。
  • 第二層:靜態的帳號和密碼,外加雙重或多重身分認證,所以不只單一密碼,而是要求提供兩組資訊:一個是一次性密碼,欲登入網站或裝置的變動性密碼;另一個是「以使用者個人資訊為基礎的認證」,做為提供給網站的第二項個人保密資訊,我們當中有些人已經進階到這一層了。
  • 第三層:持續不斷變動的完全動態密碼,也就是每次要登入網站時,密碼都會變更,又或會時常被要求變更密碼。
  • 第四層:遠端掃瞄政府製發的身分證明文件來證明身分,此種身分證明文件不會儲存個人身分認證資訊,但透過機器掃瞄能立即傳送資料到有關當局,以利驗證使用者的身分,另一種方式是藉由核對自拍照和身分證明文件上的個人照來證明身分。
  • 第五層:透過政府製發的身分證明文件,由本人親自確認證明身分。此驗證過程中,個人要證明自己的身分時,須出示(附有照片和簽名的)原版身分證明文件和地址證明文件,可透過像是Skype等科技技術來協助完成驗證。

資料外洩與密碼竊賊

是到了該改變密碼使用習慣、脫離第一層密碼層級的時候了!可是,歷史資料顯示組織單位、政府機關、公司行號,遇到電子數位保護機制需要升級更新的時候,步調往往都很緩慢,這真的讓人感到很沮喪。而且,從數位資料外洩歷史事件紀錄來看,我們面對的問題日益加劇,但我們的反應和處理速度卻遲緩無比。

二○○五年以前,確實也發生過資料外洩意外,共計有一百三十六起通報案件,但大宗資料外洩案件大多是在二○○五年以後才發生的。罪犯可盜取的資料量變多了,資料外洩案件量自然也隨之增加。依據二○一七年《年度資料外洩事件回顧》(Annual Data Breach Year-End Review)的資料,美國資料外洩案件於二○一七年創下新高,計有一千五百七十九起,受波及的人數高達數十億人,不僅刷新了二○一六年才創下的新數字,成長幅度更高達百分之四十四點七。現在,就算聽到網路犯罪分子攻破某間大企業的保護網,竊走公司和客戶的錢財和私人資料,大家也不會過於驚訝。資料外洩案件的調查工作發現,每個案件都有個共同點:靜態認證機制與密碼失竊。

二○一七年底,專門從事調查有多少身分資料被暴露在暗網裡的公司4iQ,找到一支內含十四億筆未加密的身分驗證文字資料的檔案,是至今找到規模最大的資料庫,其資料來源非常廣泛,包含Netfix、LinkedIn、Last.fm網路電台等等。這個文字檔案有41GB這麼大,就這樣被好好地「供」在那裡,連功力不高的駭客也能輕鬆拿來為非作歹。裡頭的資料依據字母排列,可觀察到使用者鮮少變更密碼,且不同的帳號大部分也都使用一樣的密碼,更慘的是,很多密碼到現在都還在繼續使用。

以規模程度來看的話,與上一起大宗身分認證資料外洩案件相比,此筆資料外洩的規模幾乎有兩倍之大。對自己的個人資料安全問題向來漠不關心的人,在得知深藏在暗網裡的不知名駭客可以自由取得靜態身分認證的資料後,也肯定都會驚醒!姑且不論到底是誰該為此類型的資料外洩事件負責,但現在真的是時候來徹底廢除靜態身分認證機制這個罪魁禍首了!

騙子堂——古奇費爾(Guccifer)

全球最為惡名昭彰的駭客是來自羅馬尼亞的計程車司機馬賽爾・萊厄爾・拉扎爾(Marcel Lehel Lazar),也是全球的密碼竊取大盜。他本人承認,使用古馳(Gucci)和魔鬼(Lucifer)結合而成的名字古奇費爾(Guccifer,意思是「風格華麗的魔鬼」),即是潛入網路接管一堆社群媒體和電子郵件的帳號。據悉,拉扎爾在二○一二到二○一四年間,竊取了羅馬尼亞政府官員、知名影星和美國政府官員的密碼,成功駭入Gmail、臉書、美國線上(AOL)等社群媒體和電子郵件服務平台的帳號,受害人包含美國前國務卿科林・鮑威爾(Colin Powell)和前總統小布希(George W. Bush)。

在未經同意之下,潛入電子郵件和社群媒體帳號後,拉扎爾還公開受害者的私人信件、財務與醫療資訊、私密照片,甚至假冒受害人。拉扎爾先是揭露了希拉蕊・柯林頓(Hillary Clinton)在擔任美國國務卿期間,使用私人電子郵件,後來還公開小布希總統的私人畫作。最後,拉扎爾因非法入侵有密碼保護的電腦和加重身分竊盜罪,被聯邦地方法官詹姆士・卡切里斯(James C. Cacheris)判四年又四個月的牢刑和三年監管。

書籍介紹

本文摘錄自《詐騙交鋒:FBI安全顧問、神鬼交鋒傳奇詐欺師,教你輕鬆識破詐騙陷阱、練就戰勝騙子的反詐心法》,創意市集出版

作者:法蘭克.艾巴內爾(Frank W. Abagnale)
譯者:吳盈慧(Ingrid Wu)

透過以上連結購書,《關鍵評論網》將由此獲得分潤收益。

你以為你夠聰明,實際上,你早已掉入陷阱!
史上最強詐欺犯 X 神鬼交鋒本尊

驚天騙局還沒結束!他的「輝煌」過往被拍成電影
不再假冒機師後,他聯手FBI揭穿騙術的故事更加精采

  • 無端寄來的廣告信,竟然是身分資料遭竊盜的警訊?
  • 在加油站遺失的發票,可能會成為讓別人假冒你的線索?
  • 臉書上一則再平凡不過的日常分享,將會讓你成為詐騙目標?
  • 費盡心思想出來的高強度密碼,其實根本就無法保護帳戶的安全?
  • 在交友軟體上認識,興趣相投又迷人的夢中情人,可能根本就不存在?

法蘭克・艾巴內爾曾是一名全球知名的天才詐欺師、FBI最年輕通緝犯,經歷被改編成賣座電影《神鬼交鋒》(由李奧納多飾演作者本人)——而現在,他是當今詐騙、偽造、網路安全領域最受敬重的權威專家。

在本書中,身為聯邦調查局頂級安全顧問的法蘭克,根據多年來與罪犯交手的豐富經驗,揭露了現今詐欺犯、駭客、行騙高手透過網路或電話竊取個資和金錢的最新手法,以及他們如何成功運用心理學和話術欺騙毫無戒心的人們,藉由各種真實案例解析,搭配法蘭克親身傳授的簡單法則,幫助我們遠離詐騙陷阱,有效保護自己的金錢與安全。

書中除了有惡名昭彰的騙子和他們的詐騙故事,更告訴你詐騙背後的狡猾黑幕。以幽默風趣的寫作風格,帶領你進入宛如電影般生動的事件中,一起看穿犯罪伎倆、打擊詐騙案件!

getImage-3
Photo Credit: 創意市集出版

責任編輯:潘柏翰
核稿編輯:王祖鵬