CH08|行動資訊安全與隱私防護深化
課程:智慧行動生活(Smart Life in the AI Era)
對應週次:延伸學習章節(彈性選用模組)
授課時數:2 節課(100 分鐘)
章節編號:CH08
一、教學目標
完成本堂課後,學生應能:
- 解釋密碼管理的安全原則,並使用 Google 密碼管理員進行密碼安全健診。
- 設定並啟用雙重驗證(2FA),說明 Authenticator App 與 SMS 簡訊驗證的安全差異。
- 審查手機 App 的敏感權限(位置、麥克風、通訊錄),撤銷不必要的過度授權。
- 辨識至少 3 種常見的釣魚攻擊與詐騙 QR Code 特徵,並說明識別方法。
- 說明「社交工程」攻擊的心理機制,並提出對應的防範策略。
二、教學流程(100 分鐘)
| 時間 | 分鐘數 | 教學活動 | 教師行動 |
|---|---|---|---|
| 00:00 | 10 min | 暖場:你的帳號安全嗎? | 帶學生至 haveibeenpwned.com 查詢自己的 Email 是否出現在資料外洩名單中;分享查詢結果(高概率有多數學生會被查到) |
| 00:10 | 25 min | 講授:密碼安全與 Google 密碼管理員 | 說明弱密碼的風險與彩虹表攻擊;示範 Google 密碼管理員(passwords.google.com)的使用方式 |
| 00:35 | 20 min | 實作 A:Google 密碼管理員健診與 2FA 升級 | 帶領學生前往 passwords.google.com 完成密碼健康狀況檢查,並設定 Google 帳號的 Authenticator 雙重驗證 |
| 00:55 | 20 min | 實作 B:App 權限審查大掃除 | 帶領學生查看手機 App 權限,找出並撤銷過度授權的 App |
| 01:15 | 20 min | 案例教學:釣魚詐騙識別 | 展示真實釣魚郵件、假 LINE 截圖、詐騙 QR Code 案例,帶學生逐一辨識危險信號 |
| 01:35 | 5 min | 統整:資安三原則 + Q&A | 統整「最小授權原則」「零信任原則」「定期健診原則」;解答疑問 |
三、核心概念與知識內容
3.1 密碼安全的基礎認知
為什麼弱密碼很危險?
現代電腦破解密碼的速度:
| 密碼類型 | 破解時間估算 |
|---|---|
| 6 位數字(如生日) | 不到 1 秒 |
| 8 位英數混合(如 abc12345) | 幾分鐘內 |
| 12 位隨機大小寫+符號 | 數十年以上 |
常見密碼錯誤:
- 同一組密碼用在多個平台(一個平台洩漏 = 全部淪陷)
- 使用個人資訊(生日、學號、手機後四碼)
- 密碼太短或缺乏複雜度
密碼安全三原則:
- 每個平台使用不同的強密碼
- 密碼長度至少 16 位以上
- 使用密碼管理工具取代腦記
3.2 密碼管理工具:Google 密碼管理員(免費,無需額外帳號)
Google 帳號內建的密碼管理功能,涵蓋密碼儲存、自動填入與外洩提醒,完全不需要另外安裝或建立新帳號。
存取方式(Google 帳號登入,免費):
- 前往 passwords.google.com
- 或:myaccount.google.com → 安全性 → 密碼管理員
主要功能:
| 功能 | 說明 |
|---|---|
| 密碼儲存 | 自動儲存各網站登入密碼,跨裝置同步 |
| 自動填入 | Android / iOS / Chrome 瀏覽器均支援 |
| 外洩提醒 | 偵測到密碼出現在已知外洩名單,立即通知 |
| 弱密碼提示 | 標記重複使用或過短的密碼,建議更換 |
💡 為什麼不需要 Bitwarden? 你已有 Google 帳號,它本身就是安全的密碼管理器,不需要再建立一個新帳號來管理其他帳號的密碼。
3.3 雙重驗證(2FA):為什麼不夠用 SMS?
| 驗證方式 | 安全等級 | 風險 |
|---|---|---|
| 僅密碼 | ⭐(最弱) | 密碼洩漏即完全淪陷 |
| SMS 簡訊驗證碼 | ⭐⭐ | SIM Swap 攻擊(有心人偽造身份換 SIM 卡)、假基地台攔截 |
| Authenticator App(TOTP) | ⭐⭐⭐⭐ | 30 秒更新一次的動態密碼,難以遠端攔截 |
| 實體安全金鑰(YubiKey) | ⭐⭐⭐⭐⭐ | 最強,但需購買實體設備 |
推薦 Authenticator 工具(免費):
- Google Authenticator(Google 帳號登入)
- Microsoft Authenticator(跨平台,支援雲端備份)
3.4 App 權限「最小授權原則」
只給 App 完成其核心功能所需要的最小權限:
| App 類型 | 應有的權限 | 危險的過度授權 |
|---|---|---|
| 天氣 App | 位置(僅使用時) | 通訊錄、麥克風 |
| 手電筒 App | 相機(閃光燈) | 位置、通訊錄、儲存空間 |
| 購物 App | 相機(掃碼)、儲存(截圖) | 「永遠」允許的位置追蹤 |
如何審查(Android): 設定 → 隱私 → 權限管理員 → 逐一審查「位置」「麥克風」「通訊錄」
如何審查(iOS): 設定 → 隱私權與安全性 → 逐一審查各項敏感權限
3.5 釣魚攻擊識別指南
釣魚郵件識別技巧:
- 檢查寄件者 Email 網域(
@google.com是真的;@g00gle.com是假的) - 懸停滑鼠在連結上(不要點擊)查看實際 URL
- 注意語氣:「你的帳號將在 24 小時內被停用,請立即點擊」= 詐騙特徵
假 QR Code 識別:
- 先用 QR Code 掃描 App 預覽 URL,確認是否為官方網域,再決定是否開啟
- 注意貼在停車場、共享單車、路邊廣告的 QR Code——最容易被替換
- 台灣常見詐騙手法:假停車繳費 QR Code、假台電線上繳費單
社交工程心理機制: 詐騙者利用以下心理觸發點:
- 緊迫感:「限時 24 小時,否則帳號封鎖」
- 恐懼:「你的信用卡有異常消費」
- 貪婪:「恭喜中獎,請填寫個資領取獎品」
- 權威:假冒警察、銀行、學校行政人員
四、實作步驟(課堂操作)
實作 A:資安健診(20 分鐘)
步驟 1:查詢 Email 是否外洩
- 前往 haveibeenpwned.com
- 輸入你常用的 Email 地址(不會儲存你的查詢記錄)
- 截圖查詢結果,記錄外洩的平台名稱
步驟 2:Google 密碼管理員健診(10 分鐘)
- 前往 passwords.google.com,以 Google 帳號登入
- 點擊「密碼健康狀況」,查看是否有「外洩的密碼」或「弱密碼」
- 點擊「外洩密碼」,依照建議逐一更換受影響帳號的密碼
- 截圖「密碼健康狀況」畫面,記錄改善前的密碼安全等級
步驟 3:升級 Google 帳號 2FA
- 前往 myaccount.google.com/security
- 點擊「雙步驟驗證」→ 確認已啟用
- 若只有 SMS,加入 Google Authenticator App 作為更安全的第二因子
實作 B:App 權限審查(15 分鐘)
任務:找出你手機中最「貪婪」的 App(擁有最多不必要權限的 App)
- 進入手機設定 → 應用程式 / App
- 選擇 3–5 個你常用的 App,逐一檢查權限
- 對照「最小授權原則」,找出並撤銷不必要的權限
- 記錄:「哪個 App 讓你最驚訝?它要了什麼不合理的權限?」
實作 C:釣魚案例辨識測驗(10 分鐘)
教師展示 5 組真實與假冒的畫面,學生判斷「真」或「假」並說明依據:
- 兩封 Email(一真一假的 Google 安全通知)
- 兩個 QR Code 掃描結果(一個導向官方網站,一個導向仿冒頁面)
- 一則 LINE 訊息(假冒便利商店客服)
五、課堂提問與討論引導
提問 1(風險評估):
「如果你的 Google 帳號今天被盜,你會損失什麼?Email、相簿、雲端硬碟、Gemini 對話記錄……完整列出來看看。」
提問 2(行為改變):
「你知道密碼安全的重要性,但為什麼還是很多人不願意改變密碼習慣?是懶惰,還是有其他心理因素?」
提問 3(社會責任):
「如果你學會了識別釣魚詐騙,但你的長輩不知道,你有責任教他們嗎?你打算怎麼做?」
六、課後延伸資源
- 🔐 工具:Google 密碼管理員(Google 帳號內建,免費,無需額外安裝)
- 🌐 資安健診:haveibeenpwned.com(Email 外洩查詢)
- 📺 延伸影片:搜尋 YouTube「台灣網路詐騙 AI 2026」了解最新詐騙手法
- 📱 台灣官方資源:165 反詐騙專線(台灣警政署反詐騙平台)
七、評量重點
| 評量項目 | 比重 | 說明 |
|---|---|---|
| 課堂實作參與 | 平時成績 | Email 外洩查詢截圖 + App 權限審查記錄 |
| 學習日誌(對應週次) | 平時成績 | 記錄「最驚訝的 App 過度授權案例」+ 資安改善行動計畫 |
八、教師備注與注意事項
- ⚠️ haveibeenpwned 隱私說明:課前明確告訴學生,這個網站不會儲存你輸入的 Email,它只是比對資料外洩名單,安全可用。若學生仍有疑慮,可使用學校 Email 而非個人 Email 查詢。
- 💡 Google 密碼管理員的安全性:強調「Google 帳號的密碼就是最重要的一把鎖」,啟用雙重驗證後,帳號安全等級大幅提升。Google 密碼管理員的外洩偵測功能會在密碼出現在已知洩漏名單時自動通知,是最簡單的防護第一步。
- 📱 iOS 權限路徑差異:iOS 的權限設定路徑與 Android 不同,建議課前準備兩個平台的操作截圖投影備用。
- 🎭 釣魚案例的真實感:使用真實的台灣詐騙案例(如假台電繳費通知、假LINE官方帳號)比一般示意圖更有學習效果,可從 165 反詐騙網站或新聞報導截取案例圖片。
- ⏱️ 時間分配:Bitwarden 安裝和設定步驟往往比預期耗時,若時間緊迫,可讓學生課後自行完成安裝,課堂上只示範概念並展示介面。