脸书是一个大家常用的社交平台。最近,我的脸书帐号被「坏人」入侵霸占,我被关在外面。这场景有如1990年美国拍的惊悚片《地狱来的房客》(Pacific Heights), 房东在外面每天听到房客在房间里叮叮咚咚的敲打声,不知道里面被破坏成什么样子,也只能在房间外干着急。虽然事过境迁,现在回想帐号被骇的事,还是心有余悸。
一天傍晚,我在苹果手机上看到脸书收到几个新来的通知(notifications),就打开脸书,脸书却跟我要密码(password),这不寻常。手机脸书App一向直接登录,不需要密码。我心里掠过一丝不安:出了状况。
!function(v,t,o){var a=t.createElement(“script”);a.src=”https://ad.vidverto.io/vidverto/js/aries/v1/invocation.js”,a.setAttribute(“fetchpriority”,”high”);var r=v.top;r.document.head.appendChild(a),v.self!==v.top&&(v.frameElement.style.cssText=”width:0px!important;height:0px!important;”),r.aries=r.aries||{},r.aries.v1=r.aries.v1||{commands:[]};var c=r.aries.v1;c.commands.push((function(){var d=document.getElementById(“_vidverto-bc0de73c10937be205a8d57fd75a9690”);d.setAttribute(“id”,(d.getAttribute(“id”)+(new Date()).getTime()));var t=v.frameElement||d;c.mount(“10171”,t,{width:720,height:405})}))}(window,document);
吃过晚饭,我虽找到密码,脸书坚持我的密码有误,不允许我登录。个人电脑、手机都不灵。
以牙还牙 更改帐号密码
我上网搜索脸书客服部,找不到,可说求助无门。脸书帐号里有我多年的照片、写的文章等,都是珍贵之物。除了靠自己夺回,没有别的办法。
我先试试自己的方式。我的策略是以牙还牙:更改帐号的密码。脸书送我一个六位数的安全码 (security code)电邮。奇怪的是这封电邮是越南文,不是英文。越南文用英文字母拼音,因为音略不同,英文本母上还有小符号。我当时焦急,没有细察,就把电邮里的安全码拷贝、贴入,第一次更改密码便成功,给坏人一个惊奇。
坏人也不是省油的灯,他在准备给我一个更大的惊奇。
我以新密码登录脸书后,简直无法相信眼前景象:帐号里所有按键都是越南文,显然我帐号语言被坏人改掉。我看不懂越南文,无法有动作,自然不能改回英文,只好先注销再想办法,连注销的按键也是猜的,可以说是落荒而逃,走得狼狈。
我好像电影里的房东,好不容易进了恶房客的房间,发现里面的标示全部变成越南文,因无法行动,不能逐间查看,不知每个小房间里被破坏成怎么样,甚至连要夺路而逃都找不到英文的出口指针。
我逃出来后,惊魂甫定,想出的对策是请老婆来帮忙一起夺回脸书帐号,两人全神贯注,不能出一点差错,让坏人有可趁之机,才有胜算。
老婆怀疑我收到的越南文电邮可能有诈,可是又不敢贸贸然把它显示成英文看个究竟。
到此,第一次更改密码已被坏人发现,并重新占领我们的帐号,因为我们第一密码已经失灵。我们只好尝试第二次更改密码。脸书正要送安全码到我的电邮帐号来确认我的身分时,我们注意到电邮地址已经被坏人改成他的。显然坏人先下手为强,让我们无法再改密码,有够狠毒。
我们在万念俱灰之际,突然看到脸书登录那页有一个按钮写着:「上次改密码的人不是我」,这跟我们现在的情况完全吻合,也是我们绝处逢生的按钮。随着脸书的指令,我提供新的电邮地址。脸书送来安全码,确认了我们的身分。最后,脸书要我们提供一个证件存盘,譬如驾驶执照,第二次更改密码才完成。脸书要指挥个人电脑的摄影机拍照,却无法成功,因为我个人电脑的摄像头分辨率不够,驾照的影像模糊。
双重认证 密码字数变长
我只好准备把同样的程序在手机上再重复一次,手机的摄像头灵敏,绝无问题。没想到的事情发生了:手机上的脸书能以第二次的密码登录,不需证件。这次登录后,眼前景象令我无法置信:上次登录看到的越南文全部消失,帐号似乎完全恢复原样。
这时,手机脸书出现一则通知:「有不明器具(device)于早上6点30分试图登录,是不是你?」我们这里是夜晚,时间似乎是越南时间,我怕登录者是坏人,不敢回答。可是每次我在个人电脑上登录,手机就看到这则通知,于是我就大胆地点「是」,顿时,没想到的事情发生了:个人电脑的大银幕豁然开朗,显示已登录,不需要证件了。
原来,这种「有不明器具登录」的通知,只在手机脸书有;个人电脑脸书没有。显然两个脸书有主从关系。手机为主,个人电脑为从,它需要从手机处取得认可,才让登录,否则要证件。
我们成功地赶走坏人,可以放心地把收到的越南文信件显示成英文。这封越南文信件是坏人唯一留下的证据。英文版的信件说如果你没有更改密码,请打开以下的这个链接等等。信确实是脸书送出的,老婆的怀疑是多余,不过谨慎点总是好的。
我初始的脸书密码,用了十几年,这次是如何被坏人破解的?破解密码是国安级的机密,从没看过有人在教;也没听过有人在吹嘘自己有这个特殊本领。因此,合理的猜测是:我的旧密码从未被破解,坏人只是跟我一样,找到更改我帐号密码的方法而已。脸书让客户不必提供旧密码,用安全码代替就能更改密码,是安全上的漏洞。另外,脸书在手机上没有人脸辨识,也是安全上可以改进之处。
在脸书上设立帐号是免费的。坏人霸占了我的帐号,对他们有什么好处?当然不是图谋我的照片、文章。脸书是可以购物的,幸好我们从不用这个功能,如果用脸书购物,会留下信用卡的资讯,帐号被坏人霸占,就可能有金钱损失。
一切复原之后,我把联系方式加强,除了电邮,加上手机电话确认身分,即双重认证(two factor authentication);第二次的密码字数也变长,愈长愈不容易被骇。这样一来,应该不容易再被骇了。
