(资料来源:伊恩·摩尔)
无论你从哪里获得新闻,你都无法避免有关最新数据泄露的报道。银行、密码管理公司、商家、电信运营商以及几乎任何其他公司都可能无法保护敏感用户数据。LastPass刚刚又受到了打击有消息称黑客入侵了一名高级工程师的个人电脑。甚至美国法警也不能幸免.然而,并不是所有的漏洞都是一样的,漏洞对你的影响可能会有很大的不同。
我们在这里帮助你了解什么是数据泄露,并提供一些建议,以保护你的个人生活免受数据泄露的最坏影响。
数据窃贼想要什么?
想象一个犯罪团伙抢劫一辆装有装满贵重物品的保险柜的装甲车。他们似乎赚了一大笔钱,但实际上,他们不知道每个保险箱的主人是谁,也不知道里面是什么,而且他们还需要数光年才能弄明白保险箱的密码。这很像数据窃贼从密码管理器或类似公司获得加密数据库时发生的情况。当正确实现时,这样的保险库可以只能由主人打开,所有的解密都在用户设备的本地进行。
面对一个神秘的保险箱或未知的加密数据块,小偷可能会转向更容易的目标。然而,即使是一点点额外的信息也可以使保险箱更容易被破解。例如,在最近的LastPass漏洞在美国,窃贼获取了保险库中密码url的非加密版本。这使得猜测主密码变得更容易,当然,一旦小偷拿到了你的金库副本,他们可以花任何时间试图破解它。
如果你的数据被窃取会发生什么?
在另一种类型的入侵中,窃贼掌握了公司的全部或部分客户名单。不管他们是闯入办公室,窃取一份文件清单,还是入侵一个在线数据库,结果都是一样的。在最好的情况下,他们只得到你的名字、地址、电话号码和电子邮件等不太隐私的详细信息。没错,他们可以把这些信息卖给数据聚合器和代理.他们可能会得到你的购买清单,这也是经纪人感兴趣的。
可以想象,被盗的数据可能包括你的信用卡号码,但这并没有你想象的那么大的担忧。长期实施的支付卡行业数据安全标准(pci dss)协议极其详细地定义了信用卡交易的安全性,只要企业遵守规则,它在大多数情况下都是有效的。在任何情况下,你都不必为欺诈性的信用卡收费买单(至少在美国是这样)。请注意,在许多情况下,您的信用卡信息保存在第三方提供商,而不是您付款的商家。
在线商家和其他网站有责任保护你的账户详细信息。许多人做得很好,保持所有数据加密,并使用零知识技术,使他们可以在不知道或存储密码的情况下验证登录密码。但如果一个网站存储你的密码不安全,导致密码暴露在漏洞中,你就失去了对该帐户的控制。根据不同类型的网站,黑客可以以你的名义下订单,进行银行转账,发送电子邮件,甚至通过更改密码将你锁定。
在两个方面,情况变得更糟。首先,如果你还没抽出时间去找一个密码管理器,你可能在多个网站使用相同的密码。黑客们知道这一点,并迅速将被盗的证书与其他流行网站进行比对。其次,如果他们进入了你的电子邮件账户,在大多数情况下,他们可以使用标准的密码重置机制来获取你更多的在线账户。密码泄露会迅速升级为全面身份盗窃.
我们测试过的最好的身份盗窃保护软件
查看全部(5项)
即使零知识身份验证没有完美地实现,它也会为试图破解安全性的不法分子制造严重障碍。相反,当公司忽视这项技术时,结果可能是灾难性的。细节还在研究中,但看起来LastPass的兄弟公司GoTo也遭到了黑客攻击该公司多个产品线的用户数据丢失,包括加密备份。一个公司声明(在新窗口打开)透露“威胁行为者窃取了部分加密备份的加密密钥。”这是正确的。使用零知识,公司永远不会存储或看到每个用户的唯一解密密码。但在这种情况下,似乎单一密码存储在加密数据附近,有点像在门上写保险柜的密码。
数据库是如何被黑客攻击的?
我让一个人工智能图像创建程序画出“一个黑客获得了一个加密数据库的访问权”。毫不奇怪,所有的结果都描绘了一个穿着连帽衫的人在检查无穷无尽的神秘字符时敲打着代码。这种级别的黑客攻击确实发生过,但在现实生活中,侵入账户要简单得多。
的诺顿密码管理器漏洞就是一个很好的例子。攻击者没有破坏诺顿的安全系统,也没有窃取加密数据。相反,他们使用其他盗窃的用户名和密码来启动一个称为凭证填充的过程。这很简单。他们只是使用一个脚本尝试了成千上万的用户名和密码组合,仔细地注意到少数可以访问某人帐户的组合。的最近贝宝被入侵还涉及到凭证填充。
从LastPass窃取加密数据金库的团伙仍然在逃,他们可以无休止地尝试猜测打开这些金库的主密码。对每一个保险库尝试一百(或一千)个最常见的密码根本不会花很长时间。如果这种努力能够击破100个目标中的一个,盗贼们就已经做得很好了。
想打开保险箱吗?偷密码就行了。最新的来自LastPass的坏消息一名意志坚定、专注的黑客设法在一名高级工程师的个人电脑上植入键盘记录器恶意软件,他是持有极其敏感的公司数据钥匙的四人之一。这种有针对性的攻击并不常见,但显然很有效。
资料外泄后我该怎么办?
人们很容易把最新的新闻说成是又一次无聊的数据泄露,但你真的应该关注一下。您是否与被入侵实体有帐户或其他联系?漏洞到底有多严重?有时一篇新闻文章会详细说明,可能只是说客户的电子邮件和物理地址被泄露了(唷!),或者泄露涉及特定的财务信息。在其他报道中,你看到的细节要少得多,要么是因为受影响的公司还不知道损失了什么,要么是因为他们不想承认。
有一件事是你不能做的,那就是等待一个被破坏的实体让你知道你是否受到了影响。这样的黑客行为既令人尴尬又代价高昂。出于法律原因,受害公司对披露的信息非常谨慎。在某些情况下,一名优秀的律师可以把“很抱歉我们丢失了您的数据”这样的陈述转化为一个错误集体诉讼.在这种情况下,只要假设你的数据包括在漏洞中。
如果你有被入侵公司的帐户,请更改密码。现在!你是否确定自己被感染了并不重要。尽管去做。不要成为六分之一的美国人中的一员入侵后什么都不做.使用安全、唯一的密码由密码管理器生成.
不要止步于此——在你的密码管理器中搜索你使用过泄露密码的其他网站,并修复它们。这是一个时间紧迫的行动。数据窃贼不可能同时访问所有被盗的账户,通过快速行动,你可能会抢在他们前面。
当您打开了受影响的站点(或多个站点)时,请检查是否多因素认证(MFA)是一个选项。MFA是你对抗账户接管的最强武器。如果可用,启用它。现在登录需要你的密码和另一个因素,比如身份验证应用程序在你的手机上或者体检上安全的关键.如果没有这个额外的因素,被盗的密码是没有用的。
什么是双因素认证?即使你修改了密码,也要留意一下受影响的公司。登录并检查任何未执行的订单或操作你所做的。看看公司是否为受害者提供任何形式的赔偿。给你一个免费的信用跟踪订阅并不是不可能的。后益百利2015年泄露在美国,益百利为受害者提供了两年的信用监控和身份识别服务。
如果你的密码管理库被盗了,那是个坏消息。如果受影响的公司没有严格遵守零知识协议,或者你用蹩脚的或重复使用的主密码来保护你的密码,情况就会特别糟糕。更改密码并不能阻止窃贼试图破解安全系统,因为被盗数据仍然以旧密码打开。事后添加MFA也是如此。你唯一的办法就是切换到更可靠的密码管理器然后快速为每个安全网站设置新的唯一密码。
如何保护自己免受数据泄露
如上所述,凭据填充攻击只是使用一个脚本,针对多个帐户自动快速检查最常见的密码。如果你试图在没有帮助的情况下记住密码,很有可能你是从密码池中抽取密码最糟糕的密码或者在所有地方使用相同的密码。这是个大问题。现在就买一个密码管理器并开始使用它。要选择一个特别强调安全性的软件零知识安全(在新窗口打开).零知识意味着没有人能打开你的金库,密码公司不行,不满的员工不行,甚至美国国家安全局也不行。
我们测试过的最佳密码管理器
看全部(4项)
选择提供可操作的密码安全报告的密码管理器。如果你已经有了这样的工具,使用它。将所有弱密码替换为强密码。当报告显示重复的密码时,为每个站点生成一个新密码。不要拖延;你不知道下一个缺口会在哪里。
你以前听过这个,但我再说一遍。保护您的密码宝库长、强、易记的密码.然后添加多因素身份验证。如果可以选择的话,使用智能手机应用程序或物理安全密钥进行身份验证比依赖的类型更好给你发密码.完成这些任务后,您最好返回并为支持MFA的每个帐户启用MFA。
记住超级安全密码的简单技巧购物网站诸如此类的人不能暴露他们没有的个人数据。是的,让网站保存你的运输和信用卡信息很方便,但如果有选择,就拒绝这种便利。您总是可以根据需要使用密码管理器来填写这些数据。如果一个字段没有被标记为必需的,那么就让它为空。
除非你切断与数字世界的所有联系,否则你的个人信息就会散布在网络上。一些持有你宝贵数据的网站没有像他们应该做的那样保护你的数据,这经常会导致数据泄露。你不能阻止这种情况的发生,但你可以通过遵循我们的建议来最大限度地减少你的风险,并通过在漏洞发生时注意并立即采取行动来最大限度地提高你的恢复机会。
