01 双因素认证,化解密码安全的危机
詹妮弗·劳伦斯(Jennifer Lawrence)度过了一个艰难的周末。2014年的一个早上,这位奥斯卡金像奖得主与其他一些名人醒来后发现,他们最私密的照片正在互联网上掀起轩然大波,其中很多是裸体照片。
现在,花点时间回想一下当前保存在你的计算机、手机和电子邮件里的照片。当然,其中很多都是完全无害的。就算全世界都看到你那些日落照片、可爱的家庭快照和头发乱糟糟的滑稽自拍,对你来说也无关紧要。但你愿意分享你所有的照片吗?如果这些照片突然全都出现在网上,你会怎么想?所有照片都记录了我们的私密瞬间。我们应该能够决定是否、何时以及怎样分享它们,而云服务并不一定总是我们的最佳选择。
2014年那个漫长的周末,媒体上充斥着詹妮弗·劳伦斯的故事。这是被称为“theFappening”的巨大泄露事件的一部分。在这一事件中,蕾哈娜(Robyn Rihanna Fenty)、凯特·阿普顿(Kate Upton)、凯莉·库柯(Kaley Cuoco)、阿德里安妮·库瑞(Adrianne Curry)及其他近300位名人的私密照片被泄露。这些名人中大多是女性,她们的手机照片通过某种方式被人获取并共享出来。可以预见,尽管有些人会对查阅这些照片感兴趣,但对更多人来说,这是一个让人不安的警示,因为这样的事情也可能会发生在他们身上。
那些人究竟是如何获得了詹妮弗·劳伦斯等人的私密照片呢?
这些名人都使用iPhone手机,人们最早的猜测集中于一次大规模数据泄露,这次泄露影响到了苹果公司的iCloud服务,而iCloud是iPhone用户的一个云存储选择。当你的物理设备存储空间不足时,你的照片、新文件、音乐和游戏都会被储存到苹果的服务器上,而且通常只需要少量月费。谷歌也为安卓系统提供了类似的服务。
几乎从来不在媒体上评论安全问题的苹果公司否认这是他们的错误。苹果公司发表了一份声明,称该事件是一次“对用户名、密码和安全问题非常有针对性的攻击”,该声明还补充说“在我们调查过的案例中,没有一项是由苹果系统(包括iCloud和‘查找我的iPhone’)的任何漏洞导致的”。
这些照片最早出现在一个以发布被泄露照片而出名的黑客论坛上。在那个论坛上,你可以看到用户在活跃地讨论用于暗中获取这些照片的数字取证工具。研究者、调查者和执法人员会使用这些工具从联网设备或云端获取数据,这通常发生在一场犯罪之后。当然,这些工具也有其他用途。
手机密码破解软件(Elcomsoft Phone Password Breaker,简称EPPB)是该论坛中被公开讨论的工具之一,该工具的目的是让执法机构和某些其他机构可以进入iPhone用户的iCloud账号。而现在,该软件正在公开销售。这只是论坛中的众多工具之一,似乎也是最受欢迎的一个。EPPB需要用户首先拥有目标iCloud账号的用户名和密码信息。但对使用这个论坛的人来说,获取iCloud用户名和密码并不是什么难事。在2014年的那个周末就发生了这种事,某人在一家流行的在线代码托管库(Github)上发布了一个名叫iBrute的工具——这是一种专为获取iCloud凭证而设计的密码破解系统,几乎可以用在任何人身上。
同时使用iBrute和EPPB,就可以冒充受害者本人将其所有云存储的iPhone数据全部备份下载到另一台设备上。这种功能是有用处的,比如当你升级你的手机时。但这个功能对攻击者也很有价值,他们可以借此查看你在你的移动设备上做过的一切。这会比仅仅登录受害者的iCloud账号提供更多的信息。
取证顾问和安全研究者乔纳森·扎德尔斯基(Jonathan Zdziarski)告诉《连线》杂志,他对凯特·阿普顿等人泄露的照片进行了检查,结果与使用了iBrute和EPPB的情况一致。取得用于恢复iPhone的备份能给攻击者提供大量个人信息,这些信息之后可能会被用于敲诈勒索。1
2016年...
你必须设置一个强密码
为了保护你的iCloud和其他网络账号,你必须设置一个强密码(strong password)。然而,以我作为渗透测试员(靠入侵计算机网络和寻找漏洞赚钱的人)的经验,我发现很多人在设置密码方面都表现得很懒惰,甚至大公司的高管也是这样。比如索尼娱乐(Sony Entertainment)的CEO迈克尔·林顿(Michael Lynton)就使用“sonyml3”作为自己的域账号密码。难怪他的电子邮件遭到黑客攻击并被传播到了互联网上,因为攻击者已经获得了访问该公司内部几乎所有数据的管理员权限。
除了与你工作相关的密码之外,还要注意那些保护你最私人的账号的密码。即使选择一个难以猜测的密码,也无法阻挡oclHashcat(一种利用图形处理器即GPU进行高速破解的密码破解工具)这样的黑客工具破解你的密码,但这会让破解过程变得很慢,足以使攻击者转向更容易的目标。
我们可以大致猜到,2015年7月阿什利·麦迪逊(Ashley Madison)被黑事件曝光的密码中有一些(包括银行账号甚至办公电脑密码)肯定也被用在了其他地方。在网上贴出的1 100万个阿什利·麦迪逊密码的列表中,最常见的是“123456”“12345”“password”“DEFAULT”“123456789”“qwe rty”“12345678”“abc123”“1234567”。如果你在这里看到了自己的密码,那么你就很可能遭遇数据泄露,因为这些常见密码都被包含在了网上大多数可用的密码破解工具包中。你可以随时在haveibeenpwned网站上查看你的账号过去是否暴露过。
在21世纪,我们可以做得更好。我的意思是要好得多,这要用到更长和更复杂的字母与数字搭配。这可能听起来很难,但我会向你展示能做到这一点的一种自动方法和一种手动方法。
最简单的方法是放弃自己创造密码,直接自动化这个过程。市面上已经有一些数字密码管理器了。它们不仅可以将你的密码保存在一个加锁的保险箱中,还允许你在需要它们的时候一键访问,甚至可以在你需要时为每个网站生成一个新的、安全性非常强的独特密码。
但要注意,这种方法存在两个问题。一是密码管理器需要使用一个主密码进行访问。如果某人刚好用某种恶意软件侵入了你的计算机,而这个恶意软件可以通过键盘记录器(keylogging,一种能记录你的每一次按键的恶意软件)窃取你的密码数据库和你的主密码,那你就完蛋了。然后那个人就会获得你的所有密码。在参与渗透测试期间,我有时候会使用一个修改过的版本来替代密码管理器(当该密码管理器开源时),该版本会将主密码发送给我们。在我们获得客户网络的管理员权限之后,这个工作就完成了。然后我们就可以使用所有的专用密码了。换句话说,我们可以使用密码管理器作为后门,获取进入王国的钥匙。
另一个问题相当明显:如果丢失了主密码,你就丢失了你所有的密码。最终来看,这并无大碍,因为你可以随时在每个网站上进行密码重置,但如果你有很多账号,操作起来就会非常麻烦。
尽管有这些问题,但下面的小窍门应该也足以保证你的密码安全。
首先,你应该使用很长的强密码短语(strong passphrase)——至少有20个或至少有25个字符,而不是简单的密码。随机字符效果最好,比如ek5iogh#skf&skd。不幸的是,人类的大脑难以记忆随机序列。所以就使用密码管理器吧,使用密码管理器比自己选择密码要好得多。我倾向于使用开源的密码管理器,比如Password Safe和KeePass,它们只会将数据储存在你的本地计算机上。
另一个重要的规则是,永远不要为两个不同的账号使用相同的密码。如今,基本上做任何事都需要密码,所以就让密码管理器来帮你生成和保存独一无二的强密码吧。
即使你有强密码,仍然有技术可以打败你,比如John the Ripper这样的密码猜测程序。这款任何人都可以下载的免费开源程序可以根据用户配置的参数进行工作2。比如,用户可以指定尝试多少个字符、是否使用特殊符号、是否包括外语集合等。John the Ripper和其他密码破解器可以使用规则集来排列密码字符,从而非常有效地破解密码。简而言之,它会尝试参数设定之内的所有可能的数字、字母和符号组合,直到成功破解你的密码。幸运的是,大多数人都不用对抗拥有近乎无限时间和资源的国家机关。我们更有可能要对抗配偶、亲戚或某个我们真正惹恼了的人,而在面对一个有25个字符的密码时,他们不会有时间和资源来成功破解。
用隐晦的方式把密码写下来
假设你想按传统的方式创建密码,并且你选择了一些非常强的密码。你猜怎么着?你完全可以把它们写下来,只要别写成“美国银行:4the1sttimein4ever*”就行。这实在太明显了。你可以用某种隐晦的方式来表示你的银行名称等信息,比如使用“饼干罐”(因为有些人曾经把他们的钱藏在饼干罐里面),然后再加上“4the1st”。注意,我没有写完这个短语。你也不需要写完。你知道这个短语的其余部分,但其他人可能不知道。
将这个不完整密码的列表打印出来应该足以迷惑任何找到这个列表的人,至少一开始会迷惑他们。说个趣事:有一次我在一个朋友家,他是一位非常知名的微软公司的员工。吃晚餐时,我们与他的妻子和孩子讨论了密码的安全性。我朋友的妻子起身走向了电冰箱。她把自己所有的密码都写在了一张纸上,并且用磁铁将其贴到了电冰箱门上。我的朋友只是摇了摇头,我咧嘴一笑。把密码写下来可能不是一种完美的方案,但忘掉那些不常用的强密码也不好。
密码字符最好超过25位
银行等机构的网站会在几次(通常是3次)密码输入错误之后锁定用户。但仍然有很多网站不会这样做。不过,就算一个网站在3次尝试失败之后会锁定用户,也无法阻挡那些坏人,因为这并不是他们使用John the Ripper或oclHashcat的方式。(顺便说一下,oclHashcat会将入侵过程分布到多个GPU上进行,这比John the Ripper要强大得多。)而且在一个真实的网站上,黑客实际上并不会尝试每一个可能的密码。
假设已经出现了一起数据泄露事件,在其数据转储中包含用户名和密码。但从这次数据泄露中检索到的密码基本上都是毫无意义的。
这将如何帮助其他人入侵你的账号呢?
无论是解锁你的笔记本电脑还是登录一个在线服务,不管什么时候你输入了密码,这个密码都会通过一个被称为哈希函数(hash function)的单向算法传递。这不同于加密。加密是双向的:只要你有密钥,就可以加密和解密。而哈希是一种表示特定字符串的指纹。理论上而言,单向算法无法逆向进行,至少不容易进行。
存储在你的传统个人电脑(PC)、移动设备或云账号的密码数据库中的内容并非“MaryHadALittleLamb123$”这种形式,而是哈希值,这是一种由数字和字母构成的序列。这个序列是一个表示密码的令牌。
实际上,存储在我们的计算机里受保护的存储器中的正是这种密码哈希,而非密码本身;目标系统遭到破坏时攻击者获得的数据,或数据泄露发生时被泄露的数据也是密码哈希。一旦攻击者获得了这些密码哈希,就可以使用John the Ripper或oclHashcat等各种各样公开可用的工具来破解这些哈希并获得真正的密码,方法既有暴力破解(尝试每一个可能的字母数字组合),也有尝试一个词列表(比如一个词典)中的每个词。John the Ripper或oclHashcat让攻击者可以基于多个规则集修改要尝试的词,比如名叫leetspeak的规则集是一个用数字替代字母的系统,如“k3v1n m17n1ck”。这个规则会将所有密码变成各种leetspeak排列。使用这些方法破解密码比简单的暴力破解要高效得多。最简单和最常见的密码也是最容易被破解的,然后随着时间推移,更复杂的密码也会被破解。破解所需的时间长短取决于多种因素。如果同时使用密码破解工具以及你泄露的用户名和哈希密码,攻击者也许可以通过尝试与你的电子邮箱地址或其他身份标识相连接的其他网站的密码,来获取你的一个或多个账号的权限。
一般而言,你的密码字符越多,John the Ripper等密码猜测程序运行所有可能的变体所需的时间就越长。随着计算机处理器的速度越来越快,计算所有可能的6位甚至8位字符密码的时间也变得越来越短。这就是我建议使用25位或更多字符作为密码的原因。
密码、图案、指纹,哪个才能保护好你的移动设备
创造出强密码后,其中很多是你永远不会告诉别人的。这似乎是显而易见的事情,但在伦敦和其他主要城市进行的一些调查表明:人们会用密码来换取笔或巧克力这些微不足道的东西。
我有一个朋友曾经把自己的奈飞(Netflix)密码分享给了他的女朋友。那时候这么做是有理由的。让女朋友选择一部两人一起观看的电影会令她很高兴。但在奈飞电影推荐部分还留着“因为你看过……”而推荐的电影,其中就包括他和前女友们看过的那些。比如他自己就不会订阅电影《牛仔裤的夏天》(The Sisterhood of the Traveling Pants),而他的女朋友知道这一点。
当然,每个人都有前任。你可能会怀疑你是否在和一个没有前任的人谈恋爱。但每个女朋友都不愿意看到那些在她之前已经离开的人留下的证据。
如果你用密码保护着你的网络服务,那么你也应该用它来保护你的各种设备。大多数人都有笔记本电脑,而且许多人仍然拥有台式机。现在你可能一个人在家,但一会儿晚餐时会不会来客人呢?为什么要冒险让别人只需坐在你的桌子前动动鼠标,就可以访问你的文件、照片和游戏呢?再补充一个关于奈飞的警示故事:在奈飞主要租赁DVD的时代,我知道有一对夫妇被恶搞了。在家里的一次聚会上,他们登录了奈飞账号的浏览器一直开着。后来,这对夫妇通过邮件收到了各种各样粗制滥造的B级片和C级片,才发现这些电影已被添加到了他们的队列中。
在办公室里保护你的密码甚至更加重要。想象一下你被临时叫去开会的情况。可能会有人走到你的办公桌前,来看看下一季度预算的表格,或者你收件箱里的所有电子邮件。除非你有一个设置了密码保护的屏保,并且让它在几秒钟没有操作之后就自动开启,否则还可能出现更加糟糕的情况——不管什么时候,你离开桌子一大段时间(外出午餐或长时间开会),某人都有可能坐在你的桌子前,冒充你写了一封邮件发出去,甚至篡改了你下一季度的预算。
为了防止这种事发生,有一些具有创造性的新方法可用,比如使用蓝牙的锁屏软件可以验证你是否在电脑旁边。换句话说,如果你去洗手间时,你的手机离开了蓝牙的连接范围,你的电脑就会立即锁定。使用其他蓝牙设备也能做到这一点,比如手环或智能手表。
创建密码来保护网络账号和服务当然很好,但如果有人取得了你的物理设备,密码也就无济于事了,尤其是当你的网络账号处于开启状态时。所以如果你只能用密码保护一套设备,那就应该保护你的移动设备,因为这些设备是最容易丢失或被盗窃的。然而,美国《消费者报告》(Consumer Reports)发现,34%的美国人根本没使用任何安全措施来保护他们的移动设备,比如使用简单的4位数字PIN码(4)来锁定屏幕。
2014年,加利福尼亚州马丁内斯的一名警察承认自己从一个酒驾嫌疑人的手机里窃取了私密照片,这显然违反了美国宪法《第四修正案》。3具体来说,《第四修正案》禁止在没有法官签发的许可和可靠证据支持的情况下进行不合理的搜查和扣押。比如,执法人员如果想要访问你的手机,就必须先说明理由。
如果你还没用密码保护你的移动设备,现在就花点时间把它设置好。我是认真的。
不管是安卓、iOS还是其他什么系统,锁定手机的常用方法有三种。最常见的是锁屏密码,这是一串可以按特定顺序输入而解锁手机的数字。不要使用手机推荐的数字位数,应该在你的设置里面手动配置更强的密码——可以是你想要的7位数字(就像童年时的电话号码),必须使用4位以上的数字。
一些移动设备允许选择基于文本的锁屏密码,再次强调:选择至少7个字符。现代移动设备可以在同一屏幕上同时显示数字和字母键,让两者之间的切换简单了许多。
另一个锁屏选项是图案锁。2008年以来,安卓手机配备了一个被称为安卓锁定图案(ALP)的功能。屏幕上显示9个点,你可以以任何想要的顺序来连接它们;这个连接序列就是你的密码。你或许认为这个功能非常巧妙,而且可能的组合方式非常多,可以让你的序列无法被破解。但在2015年的PasswordsCon大会上,研究者报告称,在一项调查中,参与者在锁定图案的140 704种可能的图案组合中仅选择了少数几种可能的图案——这就是人类的本性啊。而这些可预测的图案又是怎样的呢?往往是用户名字的第一个字母。这项调查还发现,人们往往会使用中间的点,而不是边角的4个点。下次你设置锁定图案的时候,一定要好好考虑一下。
最后,还有生物识别锁。苹果、三星等手机制造商现在允许消费者选择使用指纹扫描器来解锁手机。请注意,这并非万无一失的。在Touch ID发布之后,研究者以为苹果改进了已经上市销售的大量指纹扫描器,结果他们非常惊讶地发现,一些攻破指纹扫描器的老方法对iPhone仍然有效,其中包括在干净的表面上使用婴儿爽身粉和透明胶带来获取指纹。
还有其他手机可以使用内置摄像头来对主人进行人脸识别。然而,在摄像头前面放一张主人的高分辨率照片,这种方法就会被破解。
一般而言,生物特征识别方法本身很容易受到攻击。理想情况下,生物特征应该仅被用作一种认证因素。先滑动你的指尖或对着摄像头微笑,然后输入PIN码或锁屏密码。这应该能保证你的移动设备的安全。
如何设置安全问题
如果你创建了一个强密码但没有把它写下来,又该如何是好?当你完全无法访问一个不常用的账号时,密码重置能帮上大忙。但对潜在的攻击者而言,这也可能是容易攻破的薄弱点。使用我们留在互联网上各种社交媒体个人资料中的线索,黑客可以简单地通过重置密码来获取我们的电子邮箱以及其他服务的权限。
新闻里曾报道过这样一次攻击。这次攻击涉及获取目标信用卡号的最后4位数字,然后将其用作身份证明,并要求服务提供商修改授权的电子邮箱地址。通过这种方式,攻击者可以在账号的合法所有者不知情的情况下重置密码。
2008年时,田纳西大学的学生大卫·科纳尔(David Kernell)决定试试看能否拿下副总统候选人萨拉·佩林(Sarah Palin)的个人雅虎电子邮箱账号。4科纳尔本来可以猜几个密码,但试错几次之后可能会让该账号锁定登录。于是他使用了密码重置功能,后来他形容这个过程“很轻松”。5
我敢肯定,我们都收到过来自朋友和亲戚的奇怪电子邮件,里面竟然包含外国色情网站的链接,之后我们才知道,原来朋友的电子邮箱账号被人盗用了。这些电子邮箱被盗用的原因往往是保护该账号的密码不够强。要么是某人已经知道了密码(通过数据泄露),要么是攻击者使用了密码重置功能。
当我们开始建立一个电子邮箱或银行账户等账号时,可能要回答一些安全问题。这样的问题通常有3个,还会有一个列出建议问题的下拉菜单,这样你就可以选择你想回答的问题。你的选择通常很明显。
你的出生地是哪里?你在哪里上的高中?在哪里上的大学?还有人们偏爱的“你母亲的娘家姓”,显然,至少从1882年以来(5),它就一直被用作一个安全问题。6正如我将在下面讨论的那样,很多公司可以,而且确实在扫描互联网并收集个人信息,使得回答这些基本安全问题易如反掌。一个人在互联网上花几分钟时间,就很可能回答出一个给定个人的所有安全问题。
直到最近,这些安全问题才有了一定程度的改进。比如,“你的连襟出生于哪个州”就相当不同,但正确回答这些“好”问题本身就可能带有风险,下面我会谈到这一点。许多所谓的安全问题仍然太过简单,比如“你父亲的家乡是哪里”。
一般而言,设置这些安全问题时,应该尽量避免下拉菜单中提供的最明显的建议。即使该网站只包含基本的安全问题,也要有创意一点。没人要求你只提供简单干脆的答案。你可以耍点小聪明。比如,对你的流媒体视频服务而言,也许你最喜欢的颜色是什锦水果缤纷色。谁能猜到这个答案?这是个颜色,对吧?不管你用作答案的内容是什么,它都是这个安全问题的“正确”答案。
每次当你提供了创意答案时,一定要把问题和答案都写下来,放在安全的地方(或者就用一个密码管理器来保存你的问题和答案)。之后你可能会有需要技术支持的时候,这时,一位客服代表会问你一个安全问题。准备一张便利贴或在你的钱包里放一张卡片(或记住并始终使用一组相同的问答)来帮助你记忆“你的出生地是哪里”的正确答案是“在一家医院里”。之后,如果有人在网上搜索你的信息并尝试“俄亥俄州哥伦布市”这种更合理的答案,那么这种简单的概念混淆会让他束手无策。
诚实地回答非常特定的安全问题还存在额外的隐私风险:除了网上已有的那么多个人信息外,你还在贡献更多个人信息。比如说,“你的连襟出生于哪个州”的真实答案可能会被你提供答案的网站卖掉,然后这些信息可能会和其他信息结合起来,或用于填补缺失的信息。比如,根据这个关于连襟的答案,人们可以推断出你结了婚或结过婚,并且你的配偶或前任有男性兄弟,或者有姐妹与一个男性结婚,而这个男性就出生在你答案里的那个州。从一个简单的答案就能得到这么多额外信息。另一方面,如果你没有连襟,那就创造性地回答这个问题吧,答案也许是“波多黎各”。这应该会迷惑任何想要创建你的个人资料的人。提供的不相关信息越多,你在网上的隐身效果就越好。
回答这些相对不常见的问题时,你始终要考虑这些网站对于你的价值有多大。比如说,你也许信任你的银行,允许它们拥有这些额外的个人信息,却并不信任你的流媒体视频服务。另外,还要考虑这个网站的隐私政策是什么样的:其中可能有说明或暗示网站会向第三方销售其收集到的信息的内容,找到它们。
重置萨拉·佩林的雅虎电子邮箱账号密码需要她的出生日期、邮政编码和安全问题“你在哪里认识了你的丈夫”的答案。佩林的出生日期和邮政编码可以很容易地在网上找到(那时候佩林是阿拉斯加州的州长)。那个安全问题需要多花一点功夫,但科纳尔还是能够找到答案。佩林在很多采访中都提到丈夫是她的高中同学。事实证明,这正是她的安全问题的正确答案:高中校名。
科纳尔猜到了佩林的安全问题的答案,从而能够重置她的雅虎邮箱密码,进而控制这个邮箱。这让他能看到她所有私人的电子邮件。她的收件箱的一张截图被贴到了一个黑客网站上。除非佩林重置密码,否则她将无法登录自己的电子邮箱。
科纳尔的所作所为违法了,违反了美国《计算机欺诈和滥用法》(Computer Fraud and Abuse Act)。具体来说,他被认定犯了两项罪:通过销毁记录预先妨碍司法公正,这是一项重罪;未经授权访问计算机,这是一项轻罪。他于2010年被判处一年零一天的监禁,外加三年的监外看管。
如果你的电子邮箱账号像佩林的一样被人接管了,你应该这么做:
• 首先,你需要使用密码重置选项修改你的密码(是的,你也猜得到该这么做)。新密码要像我前面建议的那样使用强密码。
• 其次,检查发件箱,看看有什么东西以你的名义发出去了。你可能会看到有一条垃圾信息被发送给了很多人,甚至是你所有的联系人。现在你知道为什么这些年来你的朋友总在给你发送垃圾邮件了吧,因为有人劫持了他们的电子邮箱账号。
另外,还要检查是否有人将自己添加到了你的账号中。之前我们谈到过多个电子邮箱账号的邮件转发。那么,进入了你电子邮箱服务的攻击者也可能将你的全部邮件都转发到了他的邮箱。也许你仍然能正常查看你的邮件,但这个攻击者也能看到。如果某人将他自己加入到你的账号中,你要立即删除这个转发电子邮箱地址。
双因素认证,截至目前最安全的解决方案
密码和PIN码是安全解决方案的一部分,但我们刚刚也看到了,这些可以被猜出来。比复杂密码更好的方法是双因素认证(two-factor authentication)。事实上,詹妮弗·劳伦斯等名人的私密照片出现在互联网上之后,苹果的应对措施就是为iCloud服务启用了双因素认证,即2FA。
什么是2FA?
当尝试认证一位用户的身份时,网站或应用要查证3个东西中的至少2个。通常这些东西是指你拥有的东西、你知道的东西和你是谁。“你拥有的东西”可以是磁条式或芯片式的信用卡、借记卡;“你知道的东西”往往是PIN码或安全问题的答案;而“你是谁”包含了生物特征识别——指纹扫描、面部识别、声音识别等。这些东西越多,越能够确定你就是你自称的那个用户。
这听起来像是新技术,其实并不是。40多年来,大多数人都一直在使用2FA,只是我们没有意识到罢了。
每当你使用ATM时,你就在使用2FA。这怎么可能?你有一张银行签发的卡(你拥有的东西)和一个PIN码(你知道的东西)。当你将它们放到一起时,街上的无人ATM就知道你想进入这张卡所认证的账号。在一些国家,ATM认证还有其他方法,比如面部识别和掌纹识别。这被称为多因素认证(multifactor authentication,简称MFA)。
在网上也能实现类似的认证方法。很多金融、医疗机构、商业电子邮箱和社交媒体账号都允许用户选择2FA。在这种情况下,你知道的东西是你的密码,你拥有的东西是你的手机。使用你的手机获取这些网站的权限被认为是“带外”(6)的,因为这部手机没有连接到你正在使用的计算机。但如果你启动了2FA,而攻击者手里没有你的移动设备,他就无法访问你用2FA保护的账号。
假如说你在使用Gmail。要启用2FA,你会被要求在Gmail网站上输入你的手机号码。为了验证你的身份,谷歌会给你的手机发送一条包含6位数字代码的短信。然后,在Gmail网站上输入这个代码,你就确认了这台计算机和那个手机号码是关联的。
之后,如果有人试图用一台新的计算机或其他设备修改你的账号密码,就会有一条短信发送到你的手机上。只有在该网站上输入了正确的验证码之后,才能保存对你的账号的任何更改。
但这也并非万无一失。据赛门铁克(Symantec,著名网络安全技术公司)的研究者称,就算你使用了短信来验证身份,如果你不够小心,某个恰好知晓你电话号码的人也可以通过一些社会工程(7)盗取你的2FA保护的密码重置代码。
假设我想盗用你的电子邮箱账号,却不知道你的密码。但我知道你的手机号码,因为我可以通过谷歌轻松找到。在这种情况下,我可以进入你的电子邮箱密码重置页面,然后请求重置密码,因为你启动了2FA,你的手机就会收到一条短信验证码。到目前为止都还没什么问题,对吧?别急。
政治活动家德雷·麦克森(DeRay Mckesson)使用的一部手机就遭到过攻击,这一事件表明了坏人是如何欺骗你的移动运营商更换SIM卡的。换句话说,攻击者可以劫持你的蜂窝通信服务,然后接收你的短信——比如这条来自谷歌的、用来重置麦克森的Gmail账号的短信验证码,尽管他的账号使用了2FA进行保护。比起读出某人带有新密码的短信来愚弄他,这种情况发生的可能性要高得多。当然,让别人读短信也是可能的,这涉及社会工程。
因为我无法看到你的电子邮箱提供商发送到你手机上的验证码,所以我需要假装是其他人,然后把验证码骗过来。比如,在你收到了谷歌发送的真短信的几秒钟后,作为攻击者的我可以发送一条一次性短信,说:“谷歌检测到您的账号存在异常活动。请回复发送到您的移动设备上的代码,以阻止未经授权的活动。”
你会看到这个,是的,你确实收到了一条来自谷歌的、包含合法验证码的短信,但如果你不够谨慎,你可能就会把包含那个验证码的信息回复给我。我有不到60秒的时间来输入这个验证码。现在,我已经有了密码重置页面上需要填写的一切,然后就可以修改你的密码,取得你的电子邮箱账号或其他任何账号的权限。
因为短信代码未被加密,所以我可以通过刚才描述的方式来获得它。你也可以使用一种更加安全的2FA方法,即从Google Play或iTunes应用商店(为了在iPhone上使用)下载谷歌身份验证器(Google Authenticator)。这个应用可以在你每次访问需要2FA的网站时生成一个独特的授权码——所以不会发送短信。生成的6位数字码与网站用于授权访问的认知机制是同步的。但是,谷歌身份验证器会把你的一次性密码种子存储在Apple Keychain中,并且设置为“仅限该设备”。这意味着,当你为了升级或更换丢失的手机而将你的iPhone备份并还原到另一台设备上时,你的谷歌身份验证器代码将无法用于新设备,而重新设置它们是很麻烦的。为了应对可能更换物理设备的情况,你应该记得打印一些紧急代码。现在,有些应用允许你备份、还原你的一次性密码种子,可以为你免除这样的麻烦,你可以试试看。
一旦你注册了一台设备,就可以使用该设备继续登录该网站,多长时间都行,甚至将你的笔记本电脑或手机带到另一个地方也无妨;除非你特别勾选了信任该计算机30天的选项(如果有的话),那样你就会被提示输入新的访问代码。然而,如果你使用另一台设备——比如借用了你配偶的计算机,你就会被要求提供更多认证。无须多言,如果你使用了2FA,那就时刻把手机带在身边吧。
给每个人的建议
考虑到有这么多预防措施,你可能想知道,我会给那些在网上做各种金融交易的人提供些什么建议。
每年大约只需100美元,在你控制下的多达3台计算机就会得到反病毒和防火墙保护。在网上冲浪时,你会遇到的麻烦可能是你的浏览器加载了一个带有恶意软件的横幅广告,或者你打开了一封带有恶意软件的电子邮件。只要你的计算机常常联网,就有可能以这样或那样的方式受到感染,而你的反病毒产品可能无法应对网上存在的一切。
所以我推荐你花大概200美元,给自己买一台Chromebook。我喜欢iPad,但它太贵了。Chromebook的易用性接近iPad,而且价格低得多。
我要表达的观点是,你需要一台专门用于金融方面的次要设备,甚至医疗方面也是如此。除非你首先用一个Gmail账号注册过,否则它不会安装任何应用——这将限制你打开浏览器上网。
然后,如果你还没有这么做,那就在网站上激活2FA,让它识别你的Chromebook。一旦你做完了你在金融或医疗方面的事情,就将Chromebook放到一边,在下次你必须核对收支簿或预约一位医生时再重新拿起来使用。
这似乎很麻烦,实际上也确实如此。过去人们也可以方便地做银行业务,但现在几乎随时都能做银行业务。这样的话,其实你不太可能遇到你的银行信息和信用卡信息被人搞乱的情况了。如果你仅在Chromebook上使用你安装的两三个应用,也收藏了银行或医疗网站,并且不会访问其他网站,那么你的设备中基本不可能有木马或其他一些形式的恶意软件。
因此,我们已经明确了你需要创建强密码并且不能将它们分享出去。你需要尽可能地启用2FA。在后面几章中,我将带你了解常见的日常交互会如何到处留下数字印迹,以及你可以做些什么来保护自己的隐私。
,
