兩步驟驗證,駭客防護盾

 

小型組織將難逃駭客的魔掌


根據報導,2018 是人類歷史上資料外洩最嚴重的一年,而在資安領導廠商趨勢科技發表2019年資安年度預測報告中,也提出三大重點警示:「憑證資料外洩遭盜用詐騙事件將不斷增加、網路釣魚攻擊手段將取代漏洞攻擊套件成為主要攻擊手法以及工控系統的安全性持續受到威脅。」

一但郵件的帳號密碼經由駭客的釣魚郵件或網站騙取後,駭客就能得知的郵件往返內容,掌握交易相關資訊,甚至是老闆的行程,駭客再透過假冒、竄改Email或盜用等方式來詐騙,這些私密資訊將會造成相當嚴重的後果。

而種種跡象顯示,由於認定小型組織較為缺乏預防措施,駭客已將目光瞄準到小型組織身上。以非營利組織來說,組織手上掌握著支持者的許多私密資訊:姓名、電話、住址、甚至是信用卡號。一旦這些資訊被洩露,支持者對組織的信任感也將隨之瓦解。

 

帳號密碼是怎麼被釣走的?

令人意外地,許多常見的網路行為都可能讓我們的密碼遭到竊取。

  • 在多個網站上使用相同密碼

相信不少人是奉行著一組密碼走天下的精神,在網路世界闖蕩。這個看似極簡、輕便的策略其實充滿了各種危機,只要駭客從某處得到一組密碼,就彷彿得到了一把萬能鑰匙,暢通無阻。還記得2012年Dropbox用戶資料遭到外洩的新聞嗎?

  • 透過網路下載軟體

通常在 Google Play 或 App Store 等 App 商店,都有提供網友留言評論的區塊。下載 App 前不妨先觀看使用者的評價,如果發現回覆中許多人都在抱怨這支程式有問題,那可能就得小心了。除了 App 商店的評論,也可以直接在網路上針對該 App 進行搜索,看看過去是否有不良紀錄。畢竟凡走過必留下痕跡。

  • 按下電子訊息中的連結

駭客會先透過釣魚郵件手法,一旦用戶點擊信中連結,會暗中執行更換網址的JavaScript並開啟正常網站新分頁,當使用者回到企業網頁郵件分頁,則會以為連線逾時,看到要重新登入的釣魚網站(如圖),誘使用戶習慣性的輸入帳密。

(圖片來源/趨勢科技)​

以上的舉例,若有使用兩階段驗證,即使帳號密碼被不肖人士得知,兩階段驗證依然可以確保帳戶的安全性,就像是電子鎖加上傳統機械鎖,除了密碼之外,還需取得您的安全金鑰才能進到家門!
 

netiCRM為組織的資安把關

netiCRM不僅是組織最強的後盾,也希望能成為組織最夠力的盾牌,因此,netiCRM提供嚴密的密碼控管機制,能有效防止絕大多數的密碼外洩問題,包含:

  • 沒有第二人能夠從系統中得知您的密碼,即使系統管理員也無法得知
  • 密碼以亂數雜湊儲存
  • 忘記密碼機制,以一次性連結取代寄出密碼,密碼將不會洩漏在 Email 或通訊中
  • 密碼的傳輸過程以加密機制完成
  • 密碼需要最短長度(6碼),並且提供密碼強度提示
  • 提供兩步驟驗證機制,透過帳號擁有者的其他裝置確保帳戶安全。

如何在netiCRM使用兩步驟驗證機制?

 

netiCRM提供的兩步驟驗證,是一種提升登入安全性的認證方法,當您的電腦被偷用、站台帳密被盜用時,還可以透過手機上的認證程式再做一層把關。此驗證程序,需要配合手機應用程式(App)使用。啟用此程序後,未來登入站台,除了輸入密碼,還需要再輸入一組透過App產生的驗證碼,才能成功登入站台。

準備工作

1.下載

產生驗證碼的方式,需要透過App來產生,因此開始前,您需要先安裝下列任一App:
Android/iPhone使用者:Google authenticator
Google Chrome使用者:Authenticator
Firefox使用者:Authenticator

2.啟用

登入系統,請到:網站及管理員設定>網站使用者帳號,點選「二步驟驗證」,點選「啟用兩步驟驗證」。再次輸入密碼後,請安裝畫面中所列的任一應用程式(App)。


安裝完成後,請開啟認證程式,並掃描此頁下方的QRCode,或是手動輸入下方代碼。

將手機認證程式產生的認證碼,輸入到下方「應用程式認證碼」欄位,即完成二步驟驗證的設定。

兩步驟驗證設定完成後,系統會記錄您的瀏覽器設定,下次再登入時,即不須再進行一次兩步驟驗證。若希望每次登入站台皆執行兩步驟驗證,請點選「設定信任的瀏覽器」,將系統記錄的瀏覽器取消勾選即可。

 

One, Two, SAFE!

初次設定完成以後,往後的登入皆只需要兩步驟喔!

Step One:在登入頁輸入帳號、密碼

Step Two:開啟認證程式,輸入app產生的驗證碼

 

補充:
 

netiCRM的兩步驟驗證選擇了較為繁瑣的app金鑰驗證,而不使用一般坊間的簡訊認證,就是因為簡訊驗證易遭破解,遠不如app金鑰驗證的安全性。多一分手續,多一分保障!在了解網路的資安重要性之後,netiCRM也提供一個小工具及兩個以國外數據保護為主要關注面向的NPO給各位參考,定期吸收新資訊!

  • Have I been pwned?:資安服務網站,在網頁輸入Email或帳號名稱就可以查查自己的帳號密碼個資甚至信用卡資料是否曾被竊取或公開。
     
  • Tactical Tech: Tactical Tech聚集了全球數位抗爭者、技術專家和公民參與者一起尋找更切實可行的解決方案,一直在為這些數位環境的轉變做出應變措施。 網站內有許多關於數據保護和加密程序等相關議題。
     
  • Privacy International:PI通過向企業、社會大眾宣導和訴訟以加強並保護公民挑戰政府和權威的權利,並向社會強調人權的重要性。

#捐款抵稅 #定期定額 #小額捐款推薦 #線上捐款 #勸募 #聰明公益 #讓愛傳遞 #NPO #NGO  #SGDs

協助NPO募款更輕鬆

我們正透過這些方法實現社會企業理念

1️⃣ 持續舉辦NPO邁向永續研討會
2️⃣ 透過Make It Happen專案 加速創新功能實現 
3️⃣ 送票給NPO夥伴參加 NPOst年會
4️⃣ 同額捐款活動即將展開!
 

 

分享: