你应该知道什么,并做到雅虎违规行为
雅虎宣布,国家赞助的黑客通过规模窃取了至少5亿账户震荡的细节 - 它是一系列最大的数据漏洞 - 以及对用户的潜在安全影响。
这是因为雅虎,与近年来遭受大规模违规的MySpace,LinkedIn和其他在线服务不同,是电子邮件提供商;电子邮件帐户是用户的核心“在线生活”。不仅是用于私人通信的电子邮件地址,但它们是许多其他网站上的帐户的恢复点和登录凭据。
电子邮件妥协是一个人可以在线体验的最糟糕的数据违规之一,所以在这里你应该知道的:
50种散脉
雅虎说,被盗账户密码的“绝大多数”被Bcrypt哈希。哈希是一个单向加密操作,将数据转换为一组随机查找的字符,作为其唯一表示 - 这被称为哈希。
哈希应该是可逆的,所以他们“重新存储密码的好方法。您采取输入,例如密码,通过散列算法将其传递并将其与先前存储的哈希进行比较。
这提供了一种方法来验证登录时间的密码,而无需在数据库中以纯文本中的纯文本存储它们。但并非所有散列算法都提供了相同的保护防范密码开裂攻击,以猜测哪个明文密码生成特定哈希。
与老化MD5不同,如果在没有额外的安全措施的情况下实施,那么如果在没有额外的安全措施的情况下,Bcrypt被认为是一种更强大的算法。这意味着在理论上,黑客破解“绝大多数”的雅虎密码的可能性非常低。
但这里的问题:雅虎的措辞表明,大多数情况,但并非所有密码都被Bcrypt哈希。我们不知道用另一种算法哈希有多少密码,或者是哪一个。这一事实,即在雅虎的宣布或常见问题解答页面上表明它是一种比Bcrypt更弱的算法,并且公司没有想要向攻击者提供信息。
总之,没有办法讲述您的帐户是否是使用Bcrypt的密码的帐户中的那些,因此此时最安全的选择是考虑您的电子邮件损害,并尽可能多地执行损坏控制。
不要让电子邮件保留只是因为你可以
一旦黑客闯入电子邮件帐户,他们就可以通过搜索注册电子邮件来轻松发现其他在线帐户与该地址相关联。这些是大多数网站在用户打开新帐户时发送的欢迎消息,以及哪些用户很少删除。如今,大多数电子邮件提供商都提供了足够的存储空间,用户赢得了“T”不必担心删除邮件。
除了在各种网站上的电子邮件地址和帐户之间的链接之外,这些注册电子邮件还可以公开用户选择的特定帐户名称,如果与电子邮件地址不同。
如果您“在不删除Welce的人中,那么Welce电子邮件和网站发送的其他自动通知,例如密码重置,那么您可能需要考虑这样做,甚至返回此类通信的邮箱。
当然,黑客可能还有其他方法可以了解某个网站上是否有帐户,甚至是许多网站,但为什么可以更轻松地编译完整列表?
要求您的个人详细信息时要小心
在叙事的信息中,黑客从雅虎偷走的是真正的名字,电话号码,出生日期,在某些情况下,未加密的安全问题和答案。其中一些细节是敏感的,也用于银行和可能的政府机构核实。
当网站应该有你的真正出生日期时,很少有案例,因此是明智的提供它。
此外,Don“T提供安全问题的真实答案,如果可以避免它。制作一些东西,你可以记住并用它作为答案。事实上,雅虎也不会推荐使用安全问题,因此您可以进入您的帐户的安全设置并删除它们。
定期检查您的电子邮件转发规则
电子邮件转发是其中一个“设置它并忘记它”的功能。该选项在电子邮件帐户设置中的某个地方埋葬,您从不检查,如果它打开,那么没有迹象表明它是活跃的。
黑客知道这一点。他们只需要访问您的电子邮件帐户一次,设置规则以接收所有电子邮件的副本,并不重新登录。这也可以防止服务向您发送有关来自无法识别的设备和IP地址的重复可疑登录的通知。
无处不在的双因素身份验证
打开双因素身份验证 - 这有时称为两步验证 - 对于支持它的任何帐户。这将提示在线服务询问通过短信发送的一次性代码或由智能手机应用程序生成,除常规密码外,您尝试从新设备访问该帐户。
即使黑客窃取密码,它也可以将您的帐户保持安全的重要安全功能。雅虎提供它,所以利用它。
不要重用密码;只是不要
今天有许多安全的密码管理解决方案可以在不同的平台上工作。对于您拥有的每个帐户没有唯一,复杂的密码,没有任何借口。如果您确实想要一些关键帐户的难忘密码,请使用密码,而不是:由单词,数字甚至标点符号组成的句子。
这是网络钓鱼
随着网络犯罪分子的努力利用此类事件的公共利益,大规模的数据泄露通常是电子邮件网络钓鱼尝试。
这些电子邮件可以伪装成安全通知,可以包含下载传递作为安全工具的恶意程序的说明,可以将用户指向询问他们的网站,以便在“验证”其帐户的“验证”的幌子下。
寻找此类电子邮件,并确保您决定遵循安全事件的任何指令都来自受影响的服务提供商或可信源。