近期因为网易邮箱账号泄露而导致iphone手机被锁定的事件就是典型,这就不仅要让人反思当前的账号安全机制还存在哪些疏漏之处
Apple ID被盗,你知道后果多严重?许多苹果用户对Apple ID密码如何保护,被盗后又该怎么做一点意识都没有。本文从亲身经历的邮箱账号泄露说起,为大家分析一下如何保护账号安全,赶紧来围观吧。
百度账号和Apple ID风险提示邮件
笔者是百度贴吧和网易邮箱的老用户,经常使用贴吧账号和邮箱账号登陆登出,在最近,齐齐收到了百度账号和Apple ID出现异常登陆的提醒邮件。笔者平常为了省事,百度帐号和Apple ID密码几年都没有改过,所以出现这种邮件实在并不意外。
收到风险提示邮件
百度账号出现异常登陆主要是因为密码太过简单,让盗号者用软件破解起来特别容易。但是Apple ID 在注册过程中却试用了比较长得密码为什么也会被盗呢?下面详细分析一下。
邮箱信息泄露造成?
2015年10月19日乌云发现网易邮箱漏洞,此漏洞将导致网易163/126邮箱过亿数据泄漏,涉及邮箱账号/密码/用户密保等。而笔者就是网易邮箱老用户,并且喜欢使用同一个邮箱号登陆各种网站包括注册Apple ID。
网易邮箱在上对数据泄露事件予以否认,称”网易邮箱数据库不存在被攻击和泄露情况,黑客获得部分用户在其他网站与网易邮箱同名的帐号和密码,并以此帐号和密码来尝试在其他网站的登录,并非网易邮箱数据库泄露”。
巧合的是苹果推出了“手机防盗功能”,其本意是让手机失主通过iCloud账号来远程锁定苹果设备,但该功能却让盗号者利用,通过破解iCloud账号远程锁定手机来敲诈手机用户,而这些受害用户共同点就是使用同样的邮箱号甚至密码注册iCloud。
与邮箱账号密码相同的Apple ID被入侵
邮箱本是一个安全验证工具,但是工具本身一旦遭到泄露,那么账号和密码就几乎形同虚设。很多用户使用相同的邮箱号甚至密码注册iCloud,如果邮箱信息发生泄露,那么iCloud账号就随之被破解。
以此类推,如果用户继续掉以轻心,使用与注册邮箱同样的账号和密码登陆各种平台,一旦邮箱信息泄露,那么各种平台的账户信息也将随之泄露。
账号被盗后你知道麻烦就多了,以Apple ID为例,不仅仅是账户里购买的东西损失,而且由于你的账户密码已经被盗号者篡改,所以对方还可以远程锁定你iphone,让你的爱机变“砖头”,然后联系你实施敲诈,你想恢复手机使用的,就必须额外再破点财了。
参考:被微软誉为最安全的Win10账户管理
Win10被微软誉为旗下最安全的操作系统是有道理的。调查显示,在微软的产品中,远程代码执行漏洞对用户威胁最大,它能够通过植入恶意代码来取得系统完全控制权限,这种漏洞主要是靠管理员权限来活动。而Win10怎么做的?它首先史无前例地强化了管理员账号权限的保护,思路很清晰,只要保护号管理员账号不被侵入,就能避免90%以上的操作系统安全风险。
如何保护管理员账户?除了安装杀毒软件进行实时防护之外,Win10还推出了更为全面的账户管理机制,不仅可以手机二次验证管理员账号,还创建了分类访客账户,比如学校、工作单位账户、家庭和其他人账户,把权限严格控制在特定的适用范围,尽可能减少用户频繁使用管理账户的机会。
Win10还有个本地账户和普通账户的分别,本地账户初始登陆需要手机验证身份,多用几次就不需要验证了。Win10有个特色,就是本地账户或者微软账户都不能修改C盘根目录下文件,必须administrator账号才能修改,而使用administrator账号却又无法使用edge和商店。
Win10账户管理
微软Win10之所以被官方称为最安全的操作系统,其复杂的账户机制也是一个因素。Win10的本地账户和本机关联性非常大,初始登陆特定主机需要手机验证,而且本地账户做不了管理账户的事情,管理账户做不了本地账户做的事情。
这就是以细分和严控账户权限的措施保护账号密码安全,比如学校、家庭、工作单位、本地账户、Microsoft账户等等都有各自的适用范围,功能都有限制而不通用,杜绝一个账号密码登陆所有平台的风险隐患。
账号安全保护的六大必要措施
我们知道,如果自己平常小心点,那么风险就会降低50%,以上账号被盗的原因里,自己的掉以轻心也是一个主要因素。
1.不要使用同一个账号和密码注册多个平台。比如苹果事件就是使用同一个邮箱账号、密码注册iCloud,一旦该邮箱账号被破解,那么iCloud里的所有信息都被泄露,手机也被人锁定。
一定要养成好习惯,因为一旦账号失窃,就算打苹果客服400电话解决问题还是需要相当繁琐的验证手续(比如要出示手机是你自己的发票、三保、IMEI照片等等),万一你这些证明有一样无法出示,那么手机就不能使用了,报警也会因为难以追捕以及金额小而无法立案,最后只能破点财给盗号者了。
2.密码复杂些。现在盗号者不需要什么专业技术,下载个软件就能破解简单的密码,如果你的密码实在很简单,那么不破解你还有谁?而且不要把生日、手机号当做密码,因为这种范围小,容易猜测。
3.尽量不要在公众WIFI环境下登陆重要账户。公共WIFI安全措施比较简单,很容易被盗号者利用截获重要的账号密码信息。
4.开启二次验证。多使用各大平台提供的二次验证功能,尤其推荐手机验证方式,就算你的账户密码被窃了,但是系统会发送短信到用户手机进行第二次身份确认,这样即使账号密码都被盗了,只要手机还在你手里,那么盗号者还是无法操作账户,等于有了第二重保障。
5.注册某平台时先了解其自带的安全功能。很多网站为自身的注册登陆机制提供了特色的安全防护措施,比如支付宝的手机验证、U盾,微信的安全卡等等。这些功能都是平台针对自身结构推出的,所以更有针对性,也会较为安全,也能多一份保障。
6.安装专业杀毒软件。有些资深盗号者会使用木马病毒植入你的设备,这些木马在移动端可以拦截短信,获取验证,在PC端可以直接从后台记录你的账号密码。所以,安装专业杀毒软件就很有必要了。
网友评论