日前網路盛傳高達 25 億 Gmail 用戶帳號密碼遭駭客竊取,引發全球用戶高度關注與恐慌。然而,根據多方查證,此為過度渲染的謠言。Google 官方已出面澄清,證實 Gmail 服務本身並未遭到入侵,但仍強烈建議用戶採用更安全的「Passkeys(密碼金鑰)」來取代傳統密碼,以應對日益猖獗的網路釣魚與撞庫攻擊。
Salesforce 相關資安事件的後續
有關 Gmail 資料外流的最初消息,來自於當初第三方客戶關係管理(CRM)平台 Salesforce 的資料庫遭到駭客入侵的相關新聞事件,雖然其中可能包含部分用戶以 Gmail 註冊的帳號,但這並不代表 Gmail 的系統被攻破,或用戶的密碼直接外洩。
然而,此事件經部分媒體報導後,市場部分解讀為 Gmail 的大規模安全漏洞。Google 對外有嚴正否認,並強調其系統擁有強大的安全防護機制,能有效阻擋絕大多數的網路釣魚與惡意軟體攻擊。儘管如此,這次的事件再次凸顯了傳統密碼在資安防護上的脆弱性。
Google 的官方建議:告別密碼,擁抱 Passkeys
面對層出不窮的帳號盜用威脅,Google 近年來大力推動無密碼的未來,其核心就是「Passkeys(密碼金鑰)」技術。Passkeys 是一種基於 FIDO 聯盟標準的次世代登入技術,它利用個人裝置上的生物辨識(如指紋、臉部辨識)或 PIN 碼來進行身分驗證。當用戶使用 Passkey 登入時,裝置會產生一對獨特的密碼金鑰,其中「公鑰」儲存在網站或 App 的伺服器,而「私鑰」則安全地存放在自己的個人裝置中。
現階段海內外市場上,已經有包括金融服務平台、遊戲產業、電商、旅遊與科技產業多家業者使用中,應用範圍還在擴大中。
採用 Passkeys 登入的話,整個登入過程僅需透過用戶裝置的驗證,無需在網路上傳輸任何密碼,從根本上杜絕了密碼被釣魚網站竊取的風險。相較於傳統密碼,Passkeys 擁有安全性極高,無法被網路釣魚竊取且能抵禦暴力破解的優勢,而且便利性十足,無須記憶複雜的密碼,登入過程更加快速,並且有跨平台支援,能夠透過雲端同步,我們設置好的 Passkey 可以在所有登入相同帳號的裝置上使用。但是帳戶的一開始註冊或要去會員系統後台去修改資料時,還是會需要一組密碼,這密碼也可以重設。
如何強化的 Google 帳戶安全?
除了啟用 Passkeys,Google 也提供了多項安全建議,幫助用戶全面提升帳戶的防護能力:
定期執行 Google 帳號的安全檢查(Security Checkup): 前往我們自己的 Google 帳戶管理頁面去檢查看看,Google 會引導使用者去完成一系列的安全性設定檢查,包括檢視可疑活動、管理連結的裝置與應用程式等。
啟用兩步驟驗證(2-Step Verification): 萬一我們的密碼不幸外洩,兩步驟驗證也能提供多一層的保護。除了密碼外,駭客還需要存取我們的手機或實體安全金鑰才能登入,大幅提高了帳戶的安全性。建議採用 Google Authenticator App 或實體安全金鑰,而非安全性較低的簡訊驗證。
上圖是筆者使用的實體安全金鑰 Yukibey,圖片由照片上傳交由 Google Gemini 合成
建立並使用高強度的獨立密碼: 如果現在還沒準備好全面轉換至 Passkeys,請務必為不同的網站設定獨特且複雜的密碼,並善用密碼管理工具來協助記憶
這次 Google Gmail 資訊事件,自然引發業界關注,也是社群近期的話題之一,Google 也有出面澄清,但不論最後結果如何,使用傳統密碼在當前的應用環境下已經不夠了,需要更多新的方法來做驗證,除了實體安全金鑰、Passkets 與驗證器軟體,目前許多資訊應用領域也導入了零信任機制和架構以強化資安方面的部署。
以 Passkeys 為首的新一代驗證技術近期應該會是主要趨勢之一,使用上多試著陸續 Passkeys 來加強自己帳號登入方面的防護吧。
