兩天前收到Dropbox的通知信,說我從2012年起就沒有變更過密碼,為了安全起見,下次登入時系統會提示進行更新。
信件與網頁強調這單純是預防性措施,帳戶並沒有被不當存取的跡象(實際登入Dropbox網站檢視存取記錄,的確也都正常),原因是Dropbox發現有一組舊的使用者登入資料 (電子郵件地址加上加密及雜湊的密碼)在2012年被偷走,Dropbox經由監測與分析相信未有帳戶遭到不當存取。不過為了安全起見還是要求所有 2012 年中之後就未曾更新的使用者,在下次登入時重設密碼。
今天看到Troy Hunt(有名的資安領域MVP)的文章,他拿到Dropbox流出的6800萬筆帳號、密碼雜湊檔,正巧包含他太太的Email帳號與密碼雜湊值。密碼由密碼管理工具(1Password)產生,是一組超過20字元的隨機字串,於是Troy做了簡單實驗,用密碼破解工具(hashcat)驗證Dropbox流出資料的雜湊碼的確是用該密碼計算出來的,換言之,檔案是真實資料無誤。
文章有提到Troy Hunt建立的資安服務網站「Have I been pawned?」,網站蒐集重大帳號密碼外流事件的資料整理成資料庫,不需註冊或登入,在網頁輸入Email或帳號名稱就可以查查自己的帳號密碼個資甚至信用卡資料是否曾被竊取或公開。
拿我的Email查了一下:
靠北,我中了!
我的Email名列本次Dropbox事件的高危險群(難怪會收到Dropbox的通知信),查詢結果顯示「Pwned on 1 breached site found no pastes.」代表帳號或Email出現在一個網站的外洩資料中,而Paste是指資料被公開散佈(例如:被貼到匿名公佈欄),而本次Dropbox的資料尚未公開流傳,但很可能已在駭客圈私下交流多年。我的因應之道是改用KeePass產生一組32字元的新密碼,並啟用兩階段驗證(加上手機簡訊驗證)。
未來再有帳號密碼外洩事件,未必每個廠商都像Dropbox一樣願意主動告知,Have I been pawned是可以馬上查證自己是否身陷險境的好地方~