正如你可能现在已经阅读,有人最近闯进雅虎电子邮件帐户属于共和党副总统候选人佩林,并张贴照片和几个消息中发现有网上。难道同样的事情发生在你身上?
也许,这是值得关注的可能暴露。发生以惊人的缓解,在中断 - 有参与进入佩林的电子邮件帐户,没有复杂的黑客技巧。这里是怎么回事,为什么你应该有所关注,你可以做些什么。
安全性是如何受到影响
虽然佩林在她的州长容量的官方电子邮件地址,她也有至少一个雅虎地址。像任何在线服务,雅虎需要为其用户重置其密码的方式 - 最好的自动化解决方案,不需要(昂贵的)人参与。与雅虎,这是实现的方式是通过回答预先指定的“秘密问题”正确。一旦你已经回答机密问题,然后雅虎允许您使用在线表格重置您的密码。一旦复位,您可以登录与新的密码,而你又回到企业。如果你是谁已经忘记了密码的用户,这是一个很好的节省时间的功能。不幸的是,黑客希望进入别人的账号,这也是一个很大的节省时间的功能。(请注意,这个功能不是特别雅虎;许多在线服务都提供相同的密码重置功能。)
因此,要获得进入雅虎电子邮件帐户佩林州长,知道她的帐户名,她的秘密问题需要一个黑客,而这个问题的答案的秘密问题。虽然这似乎是一个很困难的事情,两件事情使他们的工作变得简单。首先,雅虎有一个定义的只有九个不同的秘密问题清单 - 比如“你在哪里满足你的配偶?”“你最喜欢什么消遣?”以及“什么是你高中的吉祥物”?但是,黑客甚至不必知道其中奥妙的问题有人使用;他们只需要知道该帐户的电子邮件地址,然后访问密码重置页面 - 在该网页上,旁边出现的答案盒子的秘密问题。根据手中的知识,黑客然后可以去看看在这个问题的答案。
这使任务更简单的是,佩林是一个公众人物的第二件事情 - 有很多的资料她,一切从谷歌搜索到维基百科页面给她LinkedIn页面。因此,只要通过浏览各种公开的信息来源,黑客也许可以想出合理的答案,大部分的所谓秘密问题。
与佩林的帐户名和一组可能的答案已知的秘密问题的武装,黑客然后就只好拨打了密码重设页面为该帐户和他找到了答案输入。你可以尝试10周不同的时间之前雅虎锁定你出了密码重设页面的24小时。(您仍然可以登录在这一点上,只要你知道你的原始密码。)一旦找到匹配,黑客可能已经到达的密码重置对话框(如下图所示) - 注意,雅虎指出,身份已核实,通过回答机密问题的方式。
与许多其他在线服务,黑客可能已经到达堵塞点。当重新许多服务密码,该服务将确认电子邮件发送到备用电子邮件帐户,您提供的原始注册过程的一部分。如果不采取确认电子邮件操作,您的密码不会被重置。虽然雅虎会要求一个备用的电子邮件,当你创建一个新帐户,当您使用忘记密码的页面没有确认电子邮件发送 - 您的密码立即复位。(我证实了这一点仍然是正确的今天,随着新创建的雅虎帐户,你做你已经更改了密码后,收到一封邮件,但在这一点上,为时已晚。)
如果您担心?
如果您使用需要登录并具有密码重置功能的在线服务,这种攻击的应该是一些最需要关注的 - 尤其是如果你大举进入社交网络,并在Facebook,LinkedIn,Flickr的全面详细的页面, 等等。如果你属于这一类,你应该在你的网上帐户测试密码重置功能。理想情况下,他们应该提供以下功能:
预先定义的问题的大名单,这些问题的答案不容易在公共场所发现的。举例来说,你高中的吉祥物是与可以很容易地找到了答案密码提示问题的一个例子。更困难的是像医生对你的出生证明,或者你的分数在你的SAT或ACT测试的名字 - 基本上,信息你会知道答案(或能够找到的文档在您的家),但是这是不可能公开的地方在互联网上发布。
定义你自己的秘密问题的能力。随着创建自己的问题和答案的能力,可以确保你选择的问题(及其相应的答案)不要在互联网上的任何地方出现。谷歌为一体,提供此作为一个选项(除了预先定义的问题清单。)
密码重置之前发送一封确认邮件进行处理。即使您的在线服务不提供上述两个特点,只要它需要从其他电子邮件地址的确认点击重置密码之前,你会是相当良好的保护。一对夫妇我使用的服务做的正是这一点,我已经收到了电子邮件提醒,我已经申请密码重置,甚至当我没有。有一个高舒适度明知复位将不会被处理,除非我亲自给了OK。
你如何保护自己
所以,你会怎么做,如果你发现你依靠一个在线服务,不符合上述任何标准是什么?还有事情可以做,以保护自己。首先,检查秘密问题,该网站提供,并将它们与您在Facebook和其他在线服务所提供的信息进行比较。如果,例如,您使用的机密问题“你在哪里碰到你的配偶?”,那么你显然应该不会有关于你如何排球赛期间,会见了在曼哈顿海滩在洛杉矶的显著其他Facebook上的故事。
但是,如果你真的想分享这块个人信息与世界接轨,并把它作为您的安全问题?或者,如果你不知道什么地方在广联达的互联网可能存在的信息,并且要保护自己在它的周围漂浮在某处情况?在这种情况下,最安全的方法就是用一个意想不到的问题的答案在您的在线服务。因此,而不是使用曼哈顿海滩的答案我们的例子中的问题,用他知道我们见面或与阳光和沙滩和渔网那个地方。如果你选择的东西绑到时,你就可以记住它(或者可以记下来,到安全的地方,以防你不这样做),但它不会在互联网上发现的。
最后,与大多数的事情,稍有常识的人走一段很长的方式来保护自己。虽然它可能是诱人与陌生人25,000,000分享你的个人生活的各个方面您最喜爱的在线服务,只要记住,任何人都可以得到一个帐号有作为,读你已经忍了大众消费的一切。除了简单的防盗网上帐户,共享过多个人信息,还可以模拟和身份盗窃犯罪的帮助。分享,当然,但谨慎的份额。
这个故事,“养成良好的在线密码安全”最初发表Macworld大会 。