Cameron學習如何重複使用密碼

「快到午餐時間了，」卡麥隆一邊點開電子郵件一邊想。 「文件審查......文件審查......「證詞......」 她喜歡當法律助理，但希望事務所能多招些人來分擔工作量。

她停下來看了一封前一天寄來的Tailwind Toys郵件。 顯然他們遭遇了某種安全漏洞，但他們認為攻擊者沒有取得任何付款資訊。 「太好了，」她笑著想，「現在他們知道我兒子最喜歡的玩具了。」

過了一會兒，她和朋友明仁一起吃午餐。 秋人拉開椅子，隨意地把鑰匙圈丟在桌上。

「嘿！」 卡麥隆驚呼：「你鑰匙圈上那個超棒的拼圖方塊是從哪裡弄來的？！」

「這真的很有趣，」明仁回答。 「在Tailwind Toys賣了5美元。」

「喔，」卡麥隆說，突然想起她早些時候看到的那封電子郵件。 「你聽說他們被駭了，損失了一堆客戶資料嗎？」

「真的嗎？ 哇。」

「是啊，我敢肯定他們知道伊森喜歡藍色積木一定很興奮。」 卡麥隆笑著回答。

「就這些嗎？」

「喔，還有那些『顧客姓名、電子郵件地址、密碼』的事。 但顯然沒有信用卡。」 卡麥隆回答。

「嗯......但電子郵件和密碼呢？」 秋仁看起來很擔心。

「是的，他們拿到我超棒的密碼了。 他們現在大概都把它當作自己的用途了！ 它有23個字元，看起來像是用克林貢語寫的。 我到處都用那個東西。」

「到處都是？ 你的電子郵件地址和密碼是銀行的登入還是社群媒體的？」

「嗯......是的......」 卡麥隆回答：「但那是不同的地點。」

「沒關係。」 秋仁說。 「有一種叫做『憑證填塞』的攻擊。 當竊賊在某個網站拿到用戶名和密碼後，他們會四處搜尋其他網站，嘗試這些使用者名稱和密碼組合，看看有多少組合有效。 如果你在各處使用相同的密碼，且他們知道密碼與你的電子郵件地址相符，他們就能入侵任何使用相同用戶名和密碼的系統帳號。」

現在卡麥隆很擔心。 「我想我的電子郵件地址在很多地方就是我的用戶名，包括工作場所。 我該怎麼辦？」

「你們有開啟這些網站的兩步驟驗證嗎？」 秋仁問。

「看起來很麻煩，所以我沒開機。」 她坦承道。

「喔。 那我就別浪費時間，開始換密碼，從你的工作密碼開始。 所有東西都要使用獨特密碼，而且你真的應該在所有地方開啟兩步驟驗證。 你不會常常在意第二步，為了阻止壞人闖進你的銀行帳戶或工作，這是值得的。」

「唉，我就是討厭得記住那些密碼。 我只是知道我會一直點『忘記密碼』。」 她對眼前的任務感到有些不知所措。

「買個密碼管理器。 他們可以幫你記住密碼，甚至建議 新的強密碼。」 秋仁建議道。 「我用的是 Microsoft Edge 瀏覽器。 這讓我的生活輕鬆許多，甚至能同步到我所有的裝置。」 他說著，舉起手機。

「好吧，我想我可以這麼做。」 她說。

「你現在就去做，我去買午餐。」 他說著，伸手去拿錢包。 「小姐......她可以點外帶嗎？」

「謝啦，兄弟，我去接下一個。」 她說著，走向櫃檯去拿食物。

摘要

重複使用密碼非常危險。 犯罪分子可能很難入侵你銀行的系統，但只要有一個安全漏洞的網站被入侵，他們就可能拿到你的用戶名和密碼。 幾小時內，他們就能在網路上數百甚至數千個網站試用這個用戶名和密碼組合。 他們很可能會發現至少有幾個其他網站，該使用者名稱和密碼都能正常使用。

如果你沒有啟用額外的保護措施，例如兩步驟驗證 (有時稱為 多重驗證) ，這些認證可能在你還沒發現第一個網站被入侵前就已經進入你的帳戶。

這就是憑證填充攻擊的本質。 

卡麥隆還能做得更好嗎？

最重要的是不要重複使用她的密碼，不管密碼多麼好。

她也可能在任何可用的地方開啟兩步驗證。 這樣即使壞人拿到她的密碼，也更難進入她的帳號。

卡麥隆做對了什麼？

一旦意識到潛在的危險，她立刻 更改了密碼，啟用了 Microsoft Edge 的密碼管理，並開始使用兩步驟驗證。

欲了解更多，請造訪 https://support.microsoft.com/security。

如果你喜歡這個......

如果你喜歡透過這類短篇故事學習資安，也可以看看 《A phish story》。 故事講述一位客戶主管在工作中遭遇網路釣魚攻擊的驚險遭遇。