用戶密碼設定易破解 專家倡增網站保安措施

今次飛行里數懷疑被盜用事件，主要涉及網上兌換平台，現時不少機構都會提醒用戶，要經常更改賬戶密碼。雖然經常更換密碼固然重要，但網站本身有沒有足夠保安措施，都值得關注。以今次事件為例，亞洲萬里通的網站，有電腦保安專家就認為，用戶密碼設定不算複雜，破解難度不高，容易引起黑客興趣，隨時造成嚴重損失。

不少港人近年出外旅遊，都會透過飛行里數換取機票。經常出外旅遊的江先生，是亞洲萬里通用戶，今年一月發現，帳戶原本有十萬里，突然被人兌換了一張二月九日出發，單程經濟客艙機票。他沒有報警，致電至亞洲萬里通後，獲得回覆：「一個操普通話口音的女人致電普通話熱線換取，協助一名男子換取一張由美國波士頓往上海機票，她能說出三個個人資料，正確無誤。大約三至四天，就已經退回四萬里給我。」

由國泰航空公司擁有的亞洲萬里通，設有網頁讓會員管理帳戶，自行兌換機票及禮品等。網頁的登記帳戶版面，用戶設定密碼只需要六至八個數字。

互聯網協會網絡保安及私隱小組召集人楊和生指，有關賬戶載有個人資料，又容許將里數轉換給其他人，容易引來黑客入侵，認為可使用雙重認證功能，即要求用戶輸入兩組密碼，加多一重認證功能：「如日常用的電郵系統，或是雲端儲存，已經容許用戶啟動雙重認證，一旦啟動雙重認證後，黑客想破解密碼，機制就會失效，而且雙重認證確保得到其他高深的入侵方法偷密碼，最多只能偷取密碼，不能偷雙重認證上的臨時號碼。」他建議，有關網站全面提升保安措施系統。

亞洲萬里通的會員一般可以透過網上及電話兌換里數來換取機票或禮品。他們在一月已經向會員發通知，提醒要經常更換密碼。部分網上兌換服務，網頁顯示，因為要系統升級而暫停。