當社群網站密碼被盜，你如何簡單保護雲端帳戶安全？

今天看到國內外新聞紛紛報導，有安全公司揭發了一個竊盜約 200 萬組大小網站密碼的案件，這些被竊的用戶密碼裡以 Facebook、 Google、 Yahoo 和 Twitter 為大宗。至於盜竊的方法，可能是利用植入用戶個人電腦中的惡意軟體，來紀錄你的密碼輸入。要注意，這僅僅只是各式各樣和雲端帳號安全有關的案件之一。

其實，在我們的日常生活中，應該也常常看到類似這樣臉書帳號被盜用的案例，也有許多新聞報導提到像是釣魚網站、駭客入侵等等事件，似乎無時無刻都有帳密被盜的事件發生。雲端服務只要用「帳號」和「密碼」就能在任何電腦登入使用，也讓一旦帳密被竊取後，風險加大。

而且帳密被盜和是否使用複雜的密碼沒有絕對關係，如果透過釣魚網站、廣告詐騙、惡意軟體偷盜你的密碼，那麼密碼多複雜也一樣立刻被他人獲取。唯一可能比較有幫助的，就是盡量每個網站使用不同的帳號密碼，以免擴散影響，可是這其實對一般用戶來說，難度也很大（但願意認真研究的朋友，歡迎試試看「 KeePass 」這類軟體）。

• 無法「完全」阻止帳密被盜，但可以阻止被登入帳號：

即使我們有很好的使用觀念、有安裝防毒軟體，不在公共無線網路區域隨意上網，但是，人難免有粗心意外的時候，在帳密安全上，一旦失足一次就真的可能是千古的遺恨，而且連我都不敢說我一定每一次都那麼小心不會誤載、誤點惡意軟體。

但也不是沒有解套的好辦法，那就是使用重點雲端服務都有提供的「帳號兩步驟驗證」機制。

「帳號兩步驟驗證」，就是當我要在「一台新的電腦」登入網站時，先輸入我的帳號密碼，正確後還不能馬上登入，必須透過裝著只有自己擁有的 SIM 卡的手機，接收一個簡訊或 App 提供的「第二步驗證碼」，當第二步也通過後，才能登入網站。

這個安全步驟，就讓前面的密碼被盜失效，因為沒有人可以在一台新的電腦登入我的帳號，除非他同時偷到我手上的這台手機。這也讓我在中毒、被盜後，有足夠的時間重新修改密碼。

例如在一台新電腦登入 Evernote，首先幫然是要輸入自己的帳號密碼。

但是通過後，還需要第二步驗證，也就是只有你自己手上手機可以收到的代碼，這樣就保護了你的帳號安全。

兩步驟驗證的代碼，可以用簡訊收，也可以用手機上可以安裝的 Google Authenticator 產生，無論哪一種，都「只有你這台手機可以收到」。而且代碼隨時變化，無法被盜取。

• 雲端服務的安全，不再只是保管複雜密碼而已：

但是在我於各種場合分享雲端服務的應用時，我總會問在場的朋友，有誰有在使用「帳號兩步驟驗證」？

通常這個比例都非常低，就算是在面對應該更習慣使用科技工具的朋友時，也很少有超過一半以上的人會開啟帳號兩步驟驗證。

沒事，當然都好。可是從各種新聞案件中，可以發現雲端帳號的保護不再只是「保護我自己的帳號密碼」這麼簡單而已，因為真正惡意的手法並不一定要猜你的帳密，而是利用各種社交陷阱來誘使你安裝惡意軟體，這時候，人性讓我覺得很難保證自己會永遠躲開每一次的考驗。

• 保護帳號安全，開啟「兩步驟驗證」沒有那麼麻煩：

不使用「帳號兩步驟驗證」的原因，除了有些朋友是還不知道外，其他朋友則是「怕麻煩」，或是「怕開啟後反而無法登入自己的帳號」。

關於「怕麻煩」這一點，在自己貼身使用的電腦上（例如家裡或辦公室），當第一次需要兩步驟驗證登入時，可以在輸入第二步驗證碼後，讓電腦記住你，這樣以後在貼身電腦上就不用每一次都兩步驟驗證。

你可以在自己貼身電腦登入時，勾選「記下這台電腦的驗證狀態」，這樣就不用每次都要兩步驟驗證。

如果是「怕開啟後反而無法登入自己的帳號」，那麼其實雲端服務在你開啟兩步驟帳號驗證後，都會提供你一組「救命密碼」，每個只能使用一次，你要貼身保管好，這樣以後例如你的手機掉了、換電話號碼結果認證不成功等等，總之在沒有手機的情況下，也可以用這幾個只有你自己知道的「救命密碼」來登入帳號。 

關於救命密碼，請參考：開啟帳號防盜兩步驟驗證結果無法登入？備援方法教學

• 怎麼開啟各大雲端服務的帳號兩步驟驗證，最簡單教學：

如果你一切尚未開始，但真的覺得應該來試試看帳號兩步驟驗證，讓自己的雲端使用安全也安心的話，下面我提供最快入手的方法。

1. Google 帳號要開啟兩步驟驗證，只要進入「帳號安全性頁面」，進行開啟即可，每一步驟都會有詳細解說，教你怎麼設定，建議第一次使用的朋友一定要好好看一遍。

或者延伸參考：啟動 Google帳戶 兩步驟驗證功能，中文版安全自保流程教學

2. 使用 Facebook 的朋友要開啟帳號兩步驟驗證，只要進入「帳號設定」的「帳號保安」，找到「登入許可」項目並勾選要求安全密碼即可，也有中文的詳細步驟解說。

或者歡迎延伸參考：Facebook帳號保安的手機簡訊認證教學，開啟登入許可雙重驗證 

3. Evernote 用戶則是登入網頁版，在右上方進入帳號設定，在「安全性摘要」頁面就可以開啟「兩步驟驗證」。

當然也可以參考我寫過得詳細教學：Evernote 開始新增帳戶兩步驟驗證登入，保護筆記安全

4. Dropbox 一樣有帳號兩步驟驗證，登入 Dropbox 網頁版，從右上方進入帳號設定，在「安全性頁面」中，啟動兩步驟驗證即可。

也歡迎參考我寫過的詳細教學：Dropbox 兩步驗證帳號安全功能推出！搶先實際測試心得 

5. 微軟的 SkyDrive、 Office Web 等雲端服務愈做愈好，我們一樣要注意微軟雲端服務的帳號安全，在登入帳戶設定後，在「安全性資訊」頁面就能開啟兩步驟驗證。

詳細說明也可以參考我的教學：Microsoft 帳戶兩步驟驗證教學，保護 Skype 等帳號安全

6. 其實， Yahoo 帳號也可以在帳號設定中開啟「二次登入驗證」。

在這樣的網路時代裡，如果你有使用上述的雲端服務，並且認為這些服務對你來說夠重要，那麼保護安全的「目前最好可行辦法」，就是開啟兩步驟驗證。