關於Gmail五百萬筆密碼洩漏傳聞與資安提醒

在網路上看到 Gmail 密碼外洩消息，我「震驚」了…由於與個人資安切身相關，當然要深入了解，便找了資料來讀，順便整理分享。

本週二，有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單，被俄羅斯媒體 CNews 報導後，隨即在網路「瘋傳」（咳… 可以不要玩這些哏了嗎？）。論壇管理者事後移除清單裡的密碼，只留下帳號，而貼出清單的原PO則再跑出來聲稱其中 60％ 的密碼是有效的。

初步分析帳號名稱，主要來自英國、西班牙及俄羅斯，且看起來是長時間蒐集所得，部分帳號已改過密碼或停用。依 Google 的看法，並沒有證據顯示 Gmail 系統出現漏洞導致密碼被竊，而目前大家也較認同洩漏源自「密碼共用」。猜測為使用者在其他網站註冊會員時使用 Gmail 作為登入ID，同時又將密碼設定與 Gmail 相同，一旦該網站被駭或作業疏失造成帳號密碼外洩，就等同 Gmail 帳號密碼流入他人之手。

網路媒體 Mashable 則有更明確的資訊。依據資安專家 Matteo Flora 檢測：清單有 60 位他認識的人，經連繫，其中 30 位指出清單上的密碼從未用在 Gmail 或是年代久遠。另外，陸續有很多位名列清單的使用者證實，清單所指的密碼從未用於Gmail。由此推論，清單來自其他網站會員資料庫的可能性頗高。

有人寫了網站服務可以檢查自己的帳號是否在洩漏清單中，但提供者身分不明，要當心輸入的 Email 被拿來發垃圾信。（另外，如果將來出現網站要你輸入 Gmail 帳號密碼檢查有沒有外洩，千萬別 Key 呀！）如果有疑慮，建議馬上改密碼，這是絕無副作用的自保之道。

個人結論如下：

1. 此次所謂 500 萬筆 Gmail 密碼，蒐集自其他網站註冊資料的可能情極高，應非 Gmail 服務出現資安漏洞，不需驚慌，若有疑慮，就把密碼換掉吧！Z > B。
2. 不要共用密碼！不要共用密碼！不要共用密碼！很重要，所以說三次。
   每個網站的安全防護強度不一，全部共用同一組密碼，代表任一網站被破，所有網站身分的安全性都亮紅燈。擔心密碼太多記不住？請愛用 KeyPass。
3. 請善用「兩步驟驗證」， Gmail 與 Hotmail 都已支援。既然電子郵件已是網路身分的重要依據，裡面又擺滿個資，沒理由不讓它更安全一點。啟用兩步驟驗證後，要用陌生機器登入，就需要簡訊認證，如此歹徒就算拿到密碼，沒有你的手機也無法登入。
4. 遇到有好心網站要你提供 Email、帳號及密碼說要幫你尋找朋友、檢查帳號安全，輸入前請張大眼睛，當心被騙。

【參考資料】

• 5 Million Gmail Passwords Leak, Google Says No Compromise
• A List of 5 Million 'Gmail Passwords' Leaked, But There's No Need to Panic