据新闻称黑客破解了名人的iCloud账户,例如詹妮弗.劳伦斯和凯特.厄普顿,获取了他们的一些私密照片,但是关于究竟发生了什么的猜测和谣言仍然非常多。
由于照片的泄露就在苹果“查找我的iPhone”安全漏洞曝光之后,很多人都在指责苹果自己的安全问题。
这个被称为“ibrute”的安全漏洞是上周六在GitHub发布的。它利用了“查找我的iPhone”服务应用程序编程接口(API)上的一个安全漏洞。这个漏洞允许黑客一个接一个地尝试密码,直到他们找到正确的密码。一旦密码被发现,它就可以被用于访问该用户的iCloud账户。
苹果公司在星期一表示会重新编码,该公司表示正在“积极调查”这些iCloud账号是否被黑。这家iPhone和iPad的制造商很少会和新闻界打交道,这表明它对于这次的事件非常重视。
虽然这是一个可怕的安全漏洞,但是要利用这样一个漏洞却有赖于普通账户拥有者们使用了糟糕的密码。利用这个漏洞进行自动化的密码尝试只是使用了常用的500个密码列表。
事实上,有了这个黑客工具,你甚至不能真的把这种攻击称为“黑客攻击”。潜在的攻击者的全部所需不过是你用作Apple ID的电子邮件地址。如果你有一个很常见而且容易猜到的密码,黑客获得你的文件的时间甚至比你看这个故事的时间还要短。
一些专家相信这只是iCloud安全攻击狂潮的开始。
所以,如果你想要保护你的私密照片或者你所在公司的行业机密的安全,你必须开始使用一些不是“password”或者“123456”的密码。
我不打算滔滔不绝地再一次告诉你为什么你应该使用好的密码,而是建议你使用一些便于记忆但是难于破解的密码——可以使用成语而不是随机字符。例如可以使用这样的密码“Steelers?Win!Cowboys?Lose!”或者“Volt!Amp!Tesla!Edison?”,这些密码不会被任何常见的密码破解程序破解,但是对于你来说,它们比“ufc#1310”之类的密码好记多啦,你可以很容易地想起来。
安全密码不必是难以记忆的内容。它们只要难于被计算机破解就好了,成语是非常好的密码。
如果你不认为自己能够容易地记起这些成语密码,密码管理器完全可以胜任。例如RoboForm和LastPass之类的密码管理器能够让你轻松管理你的密码。
但是对于真正关心保护数据安全的网站和服务来说,双重认证可以是普通用户阻止未经授权的用户访问自己数据的最强大的工具。
使用这种方法,即使有人有了你的密码,要想修改密码他们还必须访问只能在你手中的设备,例如手机。通常情况下,双重认证系统会发送给你一封电子邮件或者短信,或者打电话给你,要求你输入得到的代码才能修改密码。
下面是如何在最流行的个人云存储服务中打开双重认证的方法:
苹果公司的iCloud
登录你的Apple ID。
选择“管理您的Apple ID和登录”
选择“密码和安全”
在“两步验证”中选择“快速入门”,然后按照说明进行操作。
注:请注意当你改变你的Apple ID进行双重认证,这是一个单向的过程。以后你只能通过双重认证的方法改变你的密码。
Dropbox
登录到Dropbox上。
在任何页面的右上角点击你的名字打开你的账户菜单。
在账户菜单中点击“设置”然后选择“安全”选项卡。
在“两步认证”的区域选择“启用”。
点击“开始使用”然后按照说明进行操作。
注意:你将需要重新输入密码才能激活双重认证。一旦你激活了该认证,你有权选择通过短信还是手机应用程序接受安全码。
谷歌的Drive
从这个链接登录谷歌。
输入你的手机号码。
输入你通过短信或者语音电话获得的安全码。
按照说明进行操作。
注:您需要为使用任何谷歌服务的电脑或者设备都获取一个新代码。对于某些服务,例如Gmail,如果你要在一台苹果设备或者通过电子邮件客户端或者某些即时消息客户端访问它的时候,你还需要设置应用专用密码。
微软的OneDrive
登录到您的微软账户。
进入“安全和密码”。
在“密码和安全信息”中,点击或单击“编辑安全信息”。
在“两步认证”中,点击或者单击“设置两步认证”。
单击“下一步”,然后按照说明进行操作。
注:微软可能会在你激活两步验证之前就通过电话或者电子邮件发送认证码给你,并且要求你在激活两步验证之前输入这个认证码。
现在很多其他的服务都支持两步验证。ZDNet有文章详细地介绍了如何在Facebook、Twitter和Google中进行设置。
如果你的照片或者数据已经泄露了的话,双重身份验证就无法保护你了,但是这样做有助于在未来防止这类攻击。