逾11亿笔邮件帐号口令外泄 企业应谨慎面对
- 魏于宁/台北
日前,澳大利亚网安专家Troy Hunt公布曾于知名云端储存空间MEGA内,发现纪录了超过11亿组电子邮件信箱帐号与口令的档案(其后数据已被删除),经由Hunt比对出这些数据来自于一个热门的黑客论坛,此消息一出,海内外媒体无不争相报导。近年来数据外泄事件频传,而电子邮件对企业营运又是极其重要且含有大量机密敏感数据,一旦员工信箱遭盗用或入侵,对企业造成的伤害可能难以估计。
若不幸让有心人取得信箱口令,就一定代表着所有的邮件都被一览无遗了吗?其实未必,只要有适合的工具机制搭配足够网安知识,仍能保护数据安全。网擎信息建议:首先,开启电子邮件信箱的双重认证:透过手机收取OTP(一次性口令),即使帐号口令被窃,他人仍无法登入信箱。
再来, 确认口令设定原则:信箱属重要帐号,与在外的一般帐号应使用不同口令,而口令长度或复杂度不足时,应经常更换,避免被暴力破解。最后,企业应开启邮件系统内的异地登入侦测:主动侦测使用者登入来源,当帐号被限制只能于某地区登入,或会自动判断前后次登入地理位置不同时,可自动阻挡来自异常地区的登入。
当然,企业与员工平日也应该提高警觉,除了避免人为疏失造成信箱口令外泄,网擎信息也针对常见骗取口令与个资可能途径提出几项建议:第一,钓鱼邮件:通常这些邮件会伪冒有关的内容,试图取得帐号口令等数据。
企业采用的邮件系统或服务若能实时针测进行拦阻或是提出警示,可大幅降低员工受骗风险。第二, 邮件内恶意连结、图片与附档:除了不要点击来路不明信件内的连结和开启附档,也可以设定封锁图片自动下载、纯文字读取信件,避免因为中毒造成电脑被入侵而口令外泄。
电子邮件帐密外泄事件可能不一定有停止的一天,企业除了应该让员工建立正确的电子邮件使用习惯,若还能透过邮件系统或服务的功能加以补强避免歹人有机可乘,才能在使用邮件沟通时更加安心。