第1页:某邮箱泄露导致大片iPhone被锁
前几天闹的沸沸扬扬的某邮箱泄露问题可以说又一次敲响了用户数据安全的警钟,虽然官方发布声明称报道不实,不存在自身数据泄露问题。但为了我们的财产以及数据安全,最好还是加强一下防范意识。
这次泄露事件影响最大的可能就是iPhone用户了,许多以该邮箱注册Apple ID的苹果用户纷纷发现自己的iPhone无故被远程锁定,被不法分子开启了丢失模式,想解锁只能联系对方交钱才可以。
iPhone被无故锁定
然而近年来,各大网站用户数据泄露的新闻可谓是层出不穷,因为数据泄露造成用户财产受到损失的案件也缕缕发生。那么为什么看似无关的数据泄露,会造成用户的财产损失?我们面对这些数据泄露究竟应该如何防范?
第2页:为什么数据泄露会造成财产损失?
说到底,还是不法分子利用了一个我们绝大多数人都会有的一个上网习惯造成的。相信这个习惯在我们大多数人众都会有,我们为了方便记忆账号密码,经常会用这一个账号密码“通吃天下”。银行网银是这个密码,支付宝密码也是,登陆微信微博账号也是,甚至注册一些小网站会员同样是这个密码。网站的数据库被攻破后,黑客就能够获得你的账号密码等数据。这个取得大量的用户注册名和密码数据的步骤其实就叫做“拖库”。
黑客入侵网站数据库窃取用户信息(图片来自百度)
黑客进行拖库操作后,再把这些用户名及密码跟网络银行、支付宝、Apple ID等有价值的网站进行匹配登陆,这就是“撞库”;而很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登陆B网址,这就叫做“撞库攻击”。
不法分子获得网站邮箱数据后,与便拿这些数据与用户的Apple ID进行比对,整理出一批能够登陆的ID。由于已经拥有了该Apple ID的绑定邮箱,所以可以轻易的进行更改密码的邮箱验证操作。成功更改用户密码后,不法分子就可以使用苹果手机的“查找iPhone”功能,将用户的使用的苹果设备设置为丢失模式,并将自己的联系方式发给用户。
由于Apple ID密码已经被更改,绑定邮箱也无法找回密码,用户无法自行将手机解锁。如果想要继续使用手机,只能联系不法分子付费解决,他们就是通过这种方式来获取利益的。而同样的道理也可以发生在支付宝等资金账户中,不法分子可以悄无声息的转走用户账户中的资金。
第3页:苹果用户该如何防范?
相信各位苹果用户都不希望自己的手机被无故锁定,不过苹果早已经针对该问题有自己的解决办法—— Apple ID两步验证。
两步验证需要有三个重要信息:账户密码、安全密匙、受信任设备。在登录操作时候要验证其中两个信息,避免因密码泄露造成直接被登录锁定设备的风险,同时,在找回密码的时候也要提供其余两个信息,才可以在邮箱中找回。这使得账户的安全性大大的增强。
如何开启两步验证?(图片来自百度经验)
那么该如何设置两步验证?首先前往http://appleid.apple.com/,选择“管理您的 Apple ID”,然后登录。选择“密码和帐户安全”。然后在出现的文字中找到“两步验证”,选择“开始设置”,并仔细按照屏幕上的说明操作即可。
开启后需要二次验证才能访问账户
另外用户还需要注意不要随意在公开场合泄露自己的苹果设备的序列号、IMEI或者其他可以查明设备信息的字符,这样很容易造成别有用心的人将你的设备锁死,或者用你的设备信息进行翻新其他设备,造成设备失去保修的案例也是屡见不鲜。同时,要从可靠渠道购入手机,避免购买到有锁机器、翻新机。
第4页:其他账户的安全如何加强?
Apple ID的账户安全可以通过开启两步验证防范,那么其他账户的安全该如何防范?笔者总结了以下几点:
·开启账户的全部安全防护功能;
·警惕账户的任何异地登录提醒,如有发现立刻更改密码;
·立刻修改掉所有利用163、126邮箱注册服务的密码与绑定关系,如:淘宝、支付宝、iCloud、QQ等关键服务线;
·不使用支持邮箱、QQ、微博等网站快速注册登录服务;
而针对支付宝等资金账户,还有以下几点也需要注意:
·支付密码不要使用常用密码;
·每天的转账限额不要设置的太高;
·关闭小额免支付密码功能;
·强化支付环节,添加数字证书、U盾、手机号绑定、银行账户短信提醒等服务;
·时刻留意账户的资金变动,尽量不要存留大量余额;
·不要将任何手机短信校验码告诉他人;
·不要在网吧等公共场所的网络上使用支付账户交易
当然除了以上几点,最重要的一点还是避免在不同网站使用相同的账号密码。那么问题来了,如果不同的网站使用不同的密码,这么多的密码记不住怎么办?除了用在记事本上面记下来这种笨办法外,笔者在这里推荐一款优秀的跨平台的密码管理工具1Password,它支持支持Windows、Mac、iOS、Android等主流操作系统,这样无论你使用任何设备都能够快速的调出存储在软件云端内的各种账户密码了。
1Password的所有数据都是使用了128-bit AES加密算法加密后保存在你的设备本地硬盘或者云端上,这样基本上你不必担心你的密码库在网上被人窃取或破解。即便你的数据库公开提供下载,只要你的密码不是弱到像1234这种猜都能猜出来的弱密码,估计全球范围内也不会有几个人能轻松破解出来。而且,它提供IE、FireFox、Chrome、Safari等主流浏览器浏览器扩展。安装好扩展之后,只要访问需要登录的网站,它就提示你保存网页密码到1Password里面,下次任何时候再次登录,你只需按一下浏览器上的1Password按钮或者是热键即可瞬间自动填写并登录进去。
简单来说,无论你有多少个网站帐号,你的帐号密码有多么的复杂,你都只需记住一个1Password的主密码,其他的只需要轻轻一点就能一键登录了,完全不用自己操心记忆众多复杂密码,相当的方便实用。不过1Password的每个平台版本都要单独购买授权,价格较高,但相信大家都有自己的路子去获取。
总结:
看完本文,想必您应该对于近期频发的网站用户数据泄露的真相有所了解了吧。可能你也没有想到这些用户数据泄露可能导致自己的财产损失,当然这条利益链也是促使黑客们不断的窃取用户数据的原因。而防止撞库,是一场需要用户一同参与的持久战。只有用户养成良好的上网习惯,避免在不同网站使用相同的账号密码,定期更改账户密码,才能从根本上防止不法分子利用撞库盗取用户网上资产的可能。另外各大网站也需要做好各种安全防御措施,保护用户的数据安全。同时也希望国家能够针对此类越来越多的用户数据泄露案件出台相关的法律法规,保护用户的合法权益。