88672819 2016-12-15
导语:美国《纽约时报》网络版今天撰文,针对10亿雅虎帐号被盗事件回答了几个热点问题,并对普通用户如何提升网络安全提供了可操作的建议。
以下为文章全文:
雅虎周三宣布该公司有10亿多用户帐号于2013年被黑客窃取。此次被盗的资料中可能包括姓名、联系方式、密码以及安全问答等内容。几个月前,雅虎还披露该公司在2014年因为类似的攻击泄露了5亿帐号资料。
安全专家表示,只要你曾经使用过雅虎的服务,此事随时都有可能对你产生影响,而影响范围也远不止局限于雅虎自身的服务。
1、我怎么知道自己的个人信息是否被盗?
应该假设已经被盗。
雅虎表示该公司已经向可能受影响的用户发送通知,但此次攻击的影响范围巨大,而类似的小规模攻击也时有发生。
2、我是否应该更改密码?
遇到这样的事情,第一步就是修改包含金融或医疗等敏感信息的网站密码。不要在不同的网站上使用相同密码。
修改雅虎密码对很多人来说只是第一步。还应该过滤其他服务,尤其是那些使用雅虎邮箱注册的服务,避免你在这些网站上使用的密码与雅虎密码过于相似。
如果你还没有这么做,就必须高度警惕在网上收到的信息,避免黑客借此骗取你的更多数据。
3、如何创建更强的密码?
可以试试1Password或LastPass这样的密码管理器。
这些服务会为你访问的每个网站创建一个独立密码,并将其存储在同一个数据库中,用一个主密码进行保护。密码管理器降低了重复使用相同密码带来的风险,这种服务创建的密码也很难破解。
如果你非要创建自己的密码,应该尝试复杂的长密码,而且应该包含一些没有意义的语句,或者用一句话总结生活中的古怪事件,在此基础上增加数字和特殊符号。
例如:
My favorite number is Green4782#
The cat ate the CoTTon candy 224%
如果你是偏执狂,还可以模仿以下方法:
安全专家耶利米·格劳斯曼(Jeremiah Grossman)只记得几个密码,一个用于解锁电脑,另外用一个用于解锁加密U盘,这个U盘里包含了他为数十项服务设置的密码。他无法记住其中任何一个密码,因为所有内容都是随机的。
“我就像猴子一样在键盘上乱敲一气。”格劳斯曼说。但他也补充道,与普通人相比,这种方式显得有些偏执。
应该在存有最敏感信息的网站上使用最强的密码,而且不能在其他地方重复使用这个密码。
4、光有密码就够了吗?
光有密码还不够。如果一家网站提供额外的安全功能,比如两步验证,那就应该开启这种功能。在此之后,当你输入密码后,还会通过手机短信收到一条一次性的验证码,只有输入这个验证码才能登录帐号。
很多银行网站以及谷歌和苹果等大型网站都提供两步验证措施。在某些情况下,只有当你通过新电脑登录时才需要使用两步验证。
5、我如何从源头上杜绝信息被盗?
很可惜,你根本做不到。定期监控自己的财务记录有助于在信息被盗后把损失降到最低。但真正负责信息安全的是那些保存你个人数据的公司。普通用户可以放慢黑客和身份盗窃者的破解速度,但最能阻止他们的还是企业的电脑安全措施和执法机构。
6、如果你在攻击发生之后、信息披露之前修改了密码,应该如何是好?
雅虎此次攻击是在3年前发生的,直到本周才披露出来。即使你最近修改了其他网站的密码,新密码也很有可能与你的雅虎密码非常相似。
所以为了安全起见,还是应该修改密码,先从网上银行等最敏感的帐号开始。
7、难道安全问题无法保护我的数据吗?
当用户忘记密码后,很多网站都会使用“你第一所学校叫什么名字?”或者“你母亲的娘家姓是什么?” 这样的安全问题恢复用户帐号
这些问题本身就很成问题,因为在互联网上搜索公开纪录并不困难,而且很多答案也极易猜到。
谷歌安全专家在最新的研究中发现,面对“你最喜欢吃什么?”这个问题,一次性猜对英语用户安全问题答案的概率高达19.7%——很多人的答案是“披萨”。
而具体到韩语用户,通过10次尝试猜对“你在哪座城市出生?”的概率达到39%,猜对“你最喜欢吃什么”的概率更是达到43%。
计算机取证专家乔纳森·扎泽尔斯基(Jonathan Zdziarski)表示,他经常用另外一个密码作为这些问题的答案。如果一个网站只通过多选题提供答案,或者只允许使用短密码,他就不会使用这家网站。
“只要看看网站给出的问题,你就能对这家网站的安全状况作出很多判断。”他说。(樵夫)