保障資安小秘訣

更新時間:2017 年 4 月 -新增部分 >>

所有用戶可以採取下述重要步驟,確實 Evernote 裡的資料安全:

密碼

請在 Evernote 上設定您在所有其他網站或服務均不同的密碼。如果有人得知您用於其他服務的密碼,您就無須擔心對方也能直接進入存取您的 Evernote 帳戶。

請避免使用字典上查得到的字作為密碼。密碼長度應至少 8 字元,其中包含大小寫字母、數字與符號。以至少 20 個字母長的片語做密碼就是個不錯的選擇。

我們建議您使用密碼管理軟體,幫助您輕鬆建立、管理所有密碼。

設定兩步驟驗證 (2SV)

啟用您 Evernote 帳戶的兩步驟驗證功能,就算密碼被他人知曉也有第二層保護。

兩步驟驗證亦稱為兩因素或多因素驗證,您登入應用程式時,除了需要輸入使用者名稱與密碼,尚須輸入傳送到您手機裡的一組特別驗證碼。兩步驟驗證是結合您已知的 (密碼) 與您能夠取用的 (您的手機) 來加強安全性。

設定兩步驟驗證非常直觀。請依照 Evernote 網頁版上 安全性摘要的說明來設定啟用。所有用戶均可在手機上使用應用程式生成認證碼(我們推薦 Google Authenticator);或可選擇使用 Telesign 簡訊接收認證碼。

使用者在設定兩步驟驗證時請特別注意,如果您暫時無法取用手機,設定過程中您會收到數個一次性的密碼。請勿將這些密碼儲存在 Evernote 裡,因為您需要這些密碼才能登入 Evernote。

已授權的應用程式與存取歷史紀錄

您可以在 Evernote 網頁版 [帳戶設定] 的 [已連結的服務] 中檢視、管理,或取消連結的服務。您亦可在網頁版中重新設定密碼。重設密碼將導致所有已連結的服務連結取消。如果您取消所有服務的連結,任何資安攻擊均將無法透過您的 Evernote 連結到其他服務。

在 Evernote 網站 [帳戶設定] 的 [存取歷史紀錄] 中,您可以看到最近曾經存取您的帳戶的裝置名稱、應用程式,以及 IP 位置。表列的裝置或應用程式位置並非 100% 準確 (我們利用 Maxmind GeolP 提供資訊)。特別是行動裝置和 VPN tunnel 可能通過私有網路連結到與裝置實際所在地完全不同的地理位置的 IP 位置。

端到端加密

若您使用的是 Windows 桌機版或 Mac 版 Evernote,您可以使用密碼短語在記事內加密任何文字,為私密資料多加一層安全保障。此端到端加密功能讓只有知道密碼短語者可以解密文字。我們的系統從未接收您設定的密碼短語或是衍伸的加密金鑰,因此如果您遺失或遺忘了密碼短語,我們也完全無法替您恢復資料。

使用本功能時,我們使用 128 位元 AES (Advanced Encryption Standard) 加密法為您的文字加密。我們從您的密碼短語利用一組獨特的 salt 和 PBKDF2 使用 SHA-256 處理 50,000 次產生金鑰。此金鑰以及初始化向量都在 CBC (Cipher Block Chaining) 模式下被用來加密您的數據。

遺失或遭竊的裝置

如果您裝有 Evernote 的裝置遭竊取,竊賊將可輕易查看使用您的電子郵件、照片、Evernote,以及所有其中安裝的應用程式。為了避免這種情況發生,您應該啟用您的裝置作業系統中的安全性管理控制,包括設定鎖定密碼、螢幕保護程式或自動計時鎖定、以及加設儲存密碼等。

大部分情況下,您僅需登入手機、平板和電腦上的 Evernote 一次。如果您遺失了其中一個裝置,請取消該裝置對您的 Evernote 帳戶的存取。請依照此文中的說明來進行。

如何確認郵件確實為 Evernote 發送

網路駭客可能誘騙您到一個看似是 Evernote 的網站,讓您登入。這種行為稱為竊取密碼的「網路釣魚」。您在任何網站要輸入自己的帳戶密碼前,請務必確認該網站網址開頭為 https://www.evernote.com/https://evernote.com。如您是印象筆記的使用者,請確認該網站網址開頭為 https://www.yinxiang.comhttps://app.yinxiang.com

Evernote 發出的每一封電子郵件都有加密簽名,並從我們公告的 IP 位置寄出。如果您收到的 email 來自下列網域之一,它就是可信賴的郵件。

Evernote:

  • @evernote.com
  • @emails.evernote.com

印象筆記:

  • @yinxiang.com
  • @emails.yinxiang.com 

如果您收的電子郵件看似來自 Evernote,但是寄件人地址並非以上任一網域,該郵件就不是來自 Evernote,您應當直接刪除它。

更多關於號稱由 Evernote 發送的垃圾郵件及惡意電子郵件,請見這篇支援 & 學習中心文章

惡意程式防護

惡意程式碼攻擊通常發生在您造訪藏有惡意程式的網頁時,惡意程式碼會透過瀏覽器的安全性漏洞或您安裝的瀏覽器插件 / 擴充功能來攻擊。這種攻擊稱為「drive-by download」。防止惡意程式碼攻擊的一個重要手段就是避免瀏覽器自動執行插件 / 擴充功能。請依照下列指示設定您的瀏覽器:

Firefox:請將附加元件設定為「啟用時詢問」。詳細關於如何針對 Adobe Flash 設定,請見此頁

Chrome:確認您使用的是最新版本,且當網站意圖開啟擴充功能時您會收到通知。

建議您僅在必要時,及網站可信時執行瀏覽器擴充套件。

請隨時確保軟體是最新版。如有任何軟體或應用程式通知您已有最新版,請立即安裝。請注意任何出現在瀏覽器中的更新,因為很多都是假的,意圖誘使您安裝惡意軟體。