2008年6月3日 星期二

自動登入的隱憂(Worries about Auto Signed-In)

現在的網路服務何其多,無論是EMail、Blog、Twitter...,或是近年興起的各種社交網路服務(SNS),只要是用WEB介面的平台,絕大多數都有設計「記住我」(Remember ID/PW)的功能,也就是下次你到這個網頁就能夠不用重新輸入帳號、密碼等個人資料。

老實說這真的是個極為便利的功能,絕大多數也是透過「Cookie、記住密碼」來達成此目的,即為自動登入的功能,但是它帶來的風險有那些呢?我們直接看這張圖吧!(以Firefox為例)



從圖中我們可以很清楚的看見這個密碼管理員,已經把我的帳號跟密碼給記下,如果你稍離開位置一下,有人藉機來你的電腦,打開這個功能,我想就沒有什麼私人隱私可言。

雖然記住密碼的風險不小,但是絕大部份的網頁平台瀏覽器都有設置這樣子的功能,人總是擋不住便利之門,況且,還是有很多使用者是痛恨記一大堆帳號、密碼,尤其是現在密碼漸漸地要求要有六(八)碼以上,所以不用懶人密碼的話(生日、身份證、特別紀念日...等),要記住各式各樣密碼,老實說,真的是有點強人所難。(有些人會"統一"記在小本子裡,不過那樣的風險相對地增加不少)

其實這一類自動登入的隱憂,在各式即時通訊軟體(IM)內也很常見,甚至已經有許多IM的惡意程式,會在使用者(被感染者)離線的狀態,傳送帶有惡意內容(廣告)的網址,甚至還會跟被感染者的帳號十分雷同,例如:
ID:chris@hotmail.com
傳送的惡意(廣告)連結:http://chris.infomall.net

所以,這些狀況讓我不得不正視「記住密碼」這功能的風險,更何況只要利用一些第三方的軟體(例:MessenPass載點)就能夠輕易的把你電腦中那些「****」的內容給出來。

其實像上圖所示,它是Firefox內建具備的「密碼管理員」,就是你在網路上大量記憶密碼時,"原則"上都會把密碼存一份在此(加密連線、某些入口網站例外),下次再造訪這個相同網站時,就不需再輸入密碼,所以這個密碼管理員就顯得格外重要,有在使用FF(Firefox)的人,自己去檢查一下是否有做一些補強的動作,例:主控密碼的功能。(如下圖)



當你使用了主控密碼的功能之後,要再進入密碼管理員,就得多一道密碼才能夠存取(如圖),除此之外,當然也有網路版(OnLine)的密碼管理員,例:PASSPACK。(網路資料頗豐)



雖然有了補強的加密機制,我還是傾向於不要記憶密碼,沒有人可以保證在電腦裡的資料,能夠有"絕對"的安全性(雖然FF的密碼管理員是採AES加密)。

畢竟人性本「」,只要該工具夠便利,總是會有廣大的使用者"愛"它,更何況很多人時間一久就會忘了原先設計的密碼,而密碼重置的功能,並非每個網站都做的很完備,尤其是你在註冊時,很有可能資料不太正確(假的,一旦換台電腦,或是電腦不慎重灌,你就要有被網站拒於門外的心理準備。

所以,又衍生出密碼備份的問題,如果你是FF的愛好者,就可以考慮使用Password Exporter 1.1(外掛)來將密碼管理員內的資料進行備份,或是在異機匯入,如此一來就能夠帶著你的密碼趴趴走。(或許可以避開鍵盤偵測程式,但保存需要小心...)



註:在使用Password Exporter匯出、入密碼時,有個奇怪的發現,在未匯出前,如果要檢視密碼時,是會被要求輸入主控密碼才能看得見。但是你若直接採用匯出(未勾選加密卻能直接把密碼給匯出*.xml或csv檔)。雖然開啟FF的時候就會要求輸入主控密碼,但是,你如果裝上了Password Exporter,又暫時離開位置,別人就有機可趁囉!所以安全的作法是,匯出密碼後就把密碼備份的機制刪除吧!

12 則留言:

  1. 這真的是超大的問題呢
    尤其一般使用者不了解Cookie或是Password存放機制
    總以為自己處在"安全"的環境
    才會造成經常聽到的"我被盜帳號了"事件

    我個人是使用FF,並且設定關閉自動清除隱私資料
    雖然要重打密碼,但總是安全一些

    最近在嘗試使用IPSec達到被動式加密
    應用在所有TCP/UDP上,預期可以取代MSN外掛程式加密
    (總覺得 MSN Shell 加密有時候會怪怪)

    回覆刪除
  2. 大蛇丸:

    基本上"關閉自動清除隱私資料",這個功能我也有用!雖然每次重打帳密是有點煩沒錯...但是安全重要!

    至於用其它的加密手段來解決相關的問題,老實說!個人覺得大多數的人都是矛頭向外(思索如何防範,或是該怎麼加密...),其實內部的影響反而更大!

    仔細想想一般做網路規畫的時候,對外(internet)和對內(lan)的標準一樣嗎?

    我現在更擔心的是來自內部的...傷害!

    至於msn shell或IPSec(VPN)的加密,法,期待你的研究成果吧!^^"

    回覆刪除
  3. 文字兄說的內部的傷害老實說我有點不明白是指什麼?
    可否提點呢?

    關於IPSec我實作並不是使用vlan的方式
    vlan的L2TP的確使用到IPSec
    但單純使用IPSec不需要搭配vlan
    我是打算把我單機(Standalone)部署IPSec
    對有同樣部署IPSec的機器進行加密
    對一般機器使用普通傳輸
    晚上上課回來再繼續研究囉 :)

    回覆刪除
  4. 大蛇丸:

    舉例來說,在lan裡有很多防火牆設定(甚至是認可區網內的所有進出...)或是route的相關設定往往就成了很大的破綻。

    因為大家都一直覺得問題是來自外面,往往內部人員的不當使用,才是最關鍵的問題!像...arp欺騙、隨身碟xx的感染,不也是在內部才會造成如此大的傷害力嗎?

    但是在內部又習慣方便的環境~所以這是兩難的問題...

    你所說的IPSec...應該是指在區網內,針對有IPSec和沒有IPSec的做區隔!?

    期待你的研究成果唷!^^

    我現在對vpn比較有興趣...找時間也來"仔細"玩玩...到時候再來互通有無吧!

    回覆刪除
  5. 原來是指內部的破壞,小弟我懂了!
    內部管理是超級大的學問,我雖然還沒身在職場
    但是經由課堂與網路上看到的實例來推敲
    1.嚴格的使用者規範 -> 佈署不易,易造成反彈,資源使用限制
    2.寬鬆的使用者規範 -> 問題叢生,後續管理困難,使用者開心

    當然Windows 2003 Server提供了多樣的GPO方便管理
    但是實際做起來卻又是另一回事
    真的是超級兩難的呢!

    我嘗試在「Internet」直接使用IPSec
    使用ADSL連線,目前測試成功
    但是MSN無法確保加密,原因是MSN有時候會把訊息丟向MSN Server
    不一定直接丟給對方,這時候就會失效
    如果是點對點的通訊,則套用IPSec

    今天課堂上也剛好教完VPN
    如果有可以討論的地方還請前輩多多指點:)

    回覆刪除
  6. 大蛇丸:

    你的"前輩"二字言重了!你晚上是去上進修的課嗎?關於那方面的呀!?

    其實內部的控管真的是管制再多比不上一張白紙黑字的行政命令或公告。

    至於你說要加密msn~我比較好奇的是你是想要加密那部份??是你所傳送的內容嗎?還是??其它的?

    如果是傳送內容的話應該有不少軟體可以代勞~例simplite for msn messenger(我先前有寫過)

    甚至你也可以透過tunnel的方式避開眼線~但是有攻就有守~並非所有tunnel都能夠穿透出去的!

    local msn <--> MSN SERVER <--> remote msn,印象中好像只有在傳送檔案時會有一小段時間會直接發現對方的ip,過一陣子後~似乎就會經過中介的msn server來傳送(之前看過相關的文件說用此來找出對方的ip)

    或是有寫防火牆軟體~你只要把限制權提高到某個程度,有直接跳出警示訊息。

    其實這些東西~要學的東西太多了~沒有誰可以保證自己什麼都會~只求能夠有好的觀念~再最短的時間內找到解答,教學相長才是真理呀!^^

    回覆刪除
  7. 我目前在上MCSE 2003 的課程
    上課發現真的很多很多知識都是沒接觸過的
    只好努力的學習囉,請多指教

    至於MIS方面是以後想從事的工作
    我本身完全沒有相關的工作經驗
    雖然是本科系,但是目前工作經歷=0
    我想先充實好自己最基本的部分再找工作
    希望避免一上戰場就把公司搞砸的窘況

    至於您說的那套軟體我拜讀過
    跟MSN Shell的加密流程應該是差不多
    我是想要實做到,連雙方在MSN都看不出來
    因為通過ESP加密,外層看起來只是個ESP封包
    而透過第三方軟體來加密,還是看的出是MSN封包

    其實我並非想要在工作環境進行此動作
    我只是想在家(ADSL)達到此目標
    就如您說言,的確MSN Server會介入
    只有一些少部分的封包走P2P
    所以我的加密方式破功啦 :D

    大推教學相長,這句話真的是真理!
    以後請多多指教!

    回覆刪除
  8. 大蛇丸:

    mcse2003呀!不錯呀!多學一點總是好的,多為未來鋪路...

    至於未來想進MIS這一行,說真的,你得要有十足的熱情,人然很容易被模蝴了焦點,不過...^^還是歡迎加入這個領域。

    至於你說想在兩方都沒發現的狀況下進行加密...我覺得有一定的難度,畢竟MSN不像ICQ(據說有客制化版本,就是在公司內部可以使用),可以自行建構SERVER,只要是會經過他們的server,要"自行加密"就有一定的障礙...

    至於一上職場就把公司搞砸...其實你會這樣子想的話!基本上就不會砸到什麼程度(況且,有時候你可以想最糟也不過如此...)

    客氣了~大家一起努力吧!^^

    回覆刪除
  9. MIS要有足夠的熱情,沒錯啊,這種熱情還真的要很熱血才行
    看很多MIS的生活與職場分享文,真的可以說"精采萬分"呀!
    對於您說的「模糊焦點」,可否能在進一步說明呢?

    MSN的部份我已經放棄了,但是使用IPSec
    的確可以雙方加密,在Internet環境下
    我測試是兩方都使用ADSL浮動IP,一完成加密協調後
    兩者之間的通訊皆只剩下ESP封包
    利用這點應該可以在想出其他應用的方法:)

    其實在上課的過程中,越來越了解到自己不懂的地方太多了
    因為這樣,害怕自己無法勝任MIS的工作
    所以才會有「怕把公司環境搞砸」的這種想法
    究竟要到什麼樣的程度才能真正的進入MIS職場
    老實說我真的不知道,有人說MCSE+LPI+CCNA是基本
    我覺得光是把其中一種學好就很難了
    (如果說取得證照那應該還不難,要了解就有點難)
    是否可以請文字兄大致指點一位MIS大概需要具備哪些能力呢?
    (指初入職場時)
    再次感謝文字兄!

    回覆刪除
  10. 大蛇丸:

    其實...模糊焦點是因為看你自己覺得MIS應該要做的是什麼!但是實際上真正在做的工作卻不盡然如此~

    時間一久你的技能就會生疏,甚至你可能會變成另一種工作的專職者...例:水電工。

    至於怎樣才能成為MIS呢?

    老實說:我手上現在一張認證也沒有...,頂多只有上過某家「LPI」的認證課程。

    其實,我應該這樣子說那些門檻是你非本科或是公司要知道你是否有基本能力的條件,並非必然(我就是非本科轉過來的...),如果是要外商的話!它們就很看重這些證照...

    至於要學好什麼,或是覺得學好一種就很困難,老實說!我覺得沒有誰是什麼都會的~重點是要時時保持著學習的心態,而且要懂得怎麼樣在有限的時間內解決問題,這才是最重要的一件事。

    因為,大多數的老闆還是結果論,所以中間的過程只有MIS或IT人自己心裡有數,這就是戲法人人會變各有巧妙不同囉!

    你應該是本科系的學生吧!基本上光背景就贏很多人一大截了呀!^^一起加油吧!

    回覆刪除
  11. 「重點是要時時保持著學習的心態,而且要懂得怎麼樣在有限的時間內解決問題,這才是最重要的一件事」
    太棒了,這段話受用無窮,感激不盡!!!

    IPSec測試我大致上嘗試了一些
    若有興趣可以一看
    http://blog.pixnet.net/rmrug/post/18366810
    有誤請指教! <(_ _)>

    回覆刪除
  12. 大蛇丸:

    不錯唷!寫的不賴!如果把詳細的過程都寫出來會更好唷!(雖然不一定有人喜歡看~)

    但是未來可以當作自己的筆記使用。^^

    回覆刪除