為什麼skype帳戶這麼容易被駭客入侵？

如果你最近在Skype上收到一條奇怪的訊息，上面有百度或LinkedIn的連結，那麼你並不孤單。在過去的幾周裡，我收到了六個Skype聯絡人發來的百度垃圾連結，其中一個在微軟公關公司工作，另一個是前微軟員工。所有人都驚訝地看到自己的帳戶被攻破，一些人認為自己受到了微軟雙因素認證的保護。但事實並非如此。...

微軟Skype支援論壇上的一條帖子顯示，至少從8月份開始，數百名Skype使用者就出現了這種情況。被攻破的Skype帳戶被用來傳送數千條垃圾郵件，然後被鎖定，所有者必須重新獲得訪問許可權。Skype以前也曾遭受過類似的攻擊，去年，駭客利用被盜使用者名稱和密碼列表獲得賬戶訪問許可權後，得以在系統上偽造訊息。

微軟表示，沒有違反Skype安全性

“一些Skype使用者報告他們的帳戶被用來傳送垃圾郵件，”微軟發言人在一份宣告中說沒有違反Skype安全，相反，我們認為犯罪分子正在使用非法獲得的使用者名稱和密碼組合，以檢視他們是否存在於Skype上。我們將繼續採取措施加強登入過程，並建議客戶將其Skype帳戶更新為Microsoft帳戶，以從附加的保護（如雙因素身份驗證）中獲益。”

今年的攻擊規模似乎越來越大，Skype使用者可能認為他們受到了微軟雙因素安全的保護，而實際上他們可能沒有。Microsoft提供了將Skype和Microsoft帳戶連結在一起的功能，以使登入和安全更容易。如果您在幾個月前就已經啟用了，那麼事實證明，Microsoft已經將您的原始Skype帳戶密碼分開，以便仍然可以使用Skype使用者名稱訪問該服務。如果這個密碼不安全或者你在其他地方使用了它，那麼駭客可以使用它來訪問Skype，繞過微軟提供的任何雙因素身份驗證。

你的Skype帳戶可能沒有你想象的那麼安全

我以匿名的身份與一位微軟員工交談，他最近有一個Skype帳戶被破解。微軟員工使用了兩個因素的身份驗證，但駭客可以使用舊的Skype使用者名稱和密碼組合登入。我甚至在自己的個人帳戶上測試過這個，儘管幾個月前我將它連結到我的Microsoft帳戶，但我還是可以用舊密碼登入Skype帳戶。我以為我受到了微軟的雙重身份驗證的保護，但我沒有。

這是一個奇怪的情況，凸顯了微軟整合Skype的挑戰，同時將其老化的基礎設施從點對點服務升級。微軟不得不修補一個主要的漏洞，如果你在2012年知道相關的電子郵件地址，Skype帳戶就有可能遭到攻擊。這是一個令人尷尬的安全漏洞，在同一天被修複，但它打擊了人們對微軟保護Skype方法的信心。繞過微軟雙因素認證的能力是Skype安全性的又一次削弱。

儘管存在這個明顯的漏洞，微軟還是有一個解決方案，但它並沒有讓那些已經連結了賬戶的使用者非常清楚，也沒有自動為他們解決這個問題。如果您已經將Microsoft帳戶連結到Skype，那麼您需要“更新”您的Skype帳戶，以確保它在Microsoft的帳戶頁上完全合併。步驟如下：

去 https://account.microsoft.com，如果您已經登入，請登出。
輸入您的Skype名稱，而不是您的Microsoft帳戶電子郵件地址，然後使用您的Skype密碼登入
如果您以前連結過Microsoft帳戶，系統將提示您登入併合並帳戶以建立Skype別名

立即保護您的Skype和Microsoft帳戶

兩個帳戶正確合併後，Microsoft會建立一個Skype別名，讓您可以使用Skype使用者名稱繼續登入。您可以繼續使用或在“別名”首選項下禁用它，以確保沒有人可以嘗試使用您的Skype使用者名稱登入。無論哪種方式，您都將無法再使用舊的Skype密碼，攻擊者必須知道與您的帳戶相關的電子郵件地址。

整個過程看起來很混亂，但這似乎是保護您的Microsoft帳戶的最佳方法。如果你已經連結了一個Skype使用者名稱，那麼我建議立即執行這個額外的合併過程，以保護你的帳戶。如果您根本沒有連結Skype和Microsoft帳戶，那麼您應該可以安全地連結並與新程序合併。

我請微軟解釋為什麼它沒有提醒那些以前將自己的微軟帳戶連結到這個新的合併選項的Skype使用者。”為了從雙重認證等附加保護中獲益，客戶必須遵循所有步驟將Skype帳戶更新為Microsoft帳戶。詳細說明見https://support.skype.com/en/faq/FA34657/one-account-for-skype-and-your-other-microsoft-services. 如果需要進一步的幫助，我們邀請客戶透過https://support.skype.com/en/skype/windows-desktop/.”