近年来,无论是大型网站数据泄露现象,还是个人账户信息被挂上黑市叫卖的新闻都屡见不鲜,是时候该对自己的邮箱和密码“长点心”了。当你以为自己的账户仍然安全得密不透风时,说不定已经被黑客悄无声息地翻了个底朝天了。为了防止此类悲剧的发生,一些可供查询泄露信息的网站就能派上用场了。虽然论技术网民们没法与黑客叫板,但只要提前做好防范,“抢跑”一次还是没问题的。
无所不在的攻击
Pwn是一个黑客语法的俚语词,发音类似“砰”,意味着设备或系统被攻破的声音。“砰”的一声,你的电脑和手机就落入黑客的掌控了。
在覆盖全球的网络世界里,大概有多少不幸的人遭到过黑客的操纵呢?这个名为Have I been pwned?(我被“黑”了吗?)的网站上列出了一组令人咂舌的数字,在遭遇攻击的“人气”排行榜中,全球第二大社交网站MySpace被“黑”的账号高达3.59亿多个;覆盖全球6.1亿会员及200多个国家和地区的职场社交平台LinkedIn(领英)里的“中奖”人数也超过1.6亿,相当于已有会员数的六分之一;网易同样也难逃“魔爪”,逾2亿个账号曾被黑客攻击。
俗话说,亡羊补牢,为时已晚。在数据资产价值连城的时代,若想防患于未然,当务之急自然是检查自己的账号有没有被黑客盯上。但是,有什么方法可以用来确认个人账号是否可靠呢?
Have I been pwned的功能就是帮助用户Check if you have an account that has been compromised in a data breach(查一查你是否有账号数据遭到泄露)。该网站提供邮箱账号和账号密码两种检查方式,在首页的搜索框内键入自己的邮箱后,如果安全过关,就会看见绿色的界面提示:Good news——no pwnage found!(好消息——未发现黑客攻击!)。但是,假使不幸“中枪”,界面上就会出现红色提示:Oh no——pwned!(哦不——被“黑”了!),网站还会告知Breaches you were pwned in(你的账号是在哪些第三方网站被泄露的)。
检查密码是否安全的方法与邮箱如出一辙,只需点击网站顶端的Passwords(密码),在搜索框内输入密码进行检测即可。如果安全度没问题,同样会看到绿色提示。不过,当网站出现红色提示,告知你密码安全堪忧时,你所能了解的只有自己的密码被泄露了多少次,而无法知晓究竟是在什么地方被曝光的,如This password has been seen 52 times before(该密码曾被查看过52次)。
拉响黑客警报
在网站顶端的Who's been pwned(谁曾被攻击过)按钮下,浓缩了多个网站曾遭遇数据泄露的“黑历史”,包括这些网站被黑客攻击的时间、被收录到Have I been pwned?的时间、受到影响的账号数量以及内容,诸如邮箱地址、IP地址、用户姓名、密码等。随着下拉条不断滚动,其名单之长更加触目惊心。
为什么Have I been pwned?能够具备如此庞大的检测功能,也许可以在About(关于)中窥见一二。举个例子,点进下拉菜单里的Pastes(粘贴),你会看到一些关于数据泄露的科普:当网络信息遭到攻击后,黑客通常会将其“粘贴”到类似于Pastebin这样的源代码储存分享平台,而Have I been pwned?会针对用户想要检测的邮箱地址同时在外泄数据库和上述平台中展开搜索,并将检测结果反馈给用户。
所以,当你收到Have I been pwned?的红色警告时,别犹豫,赶紧换掉原有的弱密码,改成安全级别更高的。即使检测结果亮了“绿灯”,也不能掉以轻心,谨慎的用户可以考虑在网站顶端的Notify me(通知我)中提前录入自己的邮箱地址,这样一来假使日后遭到了攻击,能第一时间收到警报。
相关链接 Firefox Monitor:免遭黑客侵袭
Firefox Monitor是开源浏览器Firefox(火狐浏览器)旗下的一个公益网站,通过搜集被公开的邮箱账号信息来帮助用户检查自己的邮箱账号是否遭到了泄露,并且查看是在哪个网站、哪个时间被泄露的。
在网站右侧的搜索框内输入自己的邮箱账号后,Firefox Monitor就会开始进行匹配,反馈结果将告知你的信息是否出现在数据外泄事件中。如果所选邮箱尚未被泄露,界面就会显示“So far,so good(目前情况良好)”。倘若用户不幸中招,Firefox Monitor就会指出This might be a problem(这里可能存在问题),并罗列出是哪些网站在何时泄露了用户的信息。
一旦账户安全告急,需要用户采取措施时,Firefox Monitor提供的手段与Have I been pwned?比较类似,你可以创建一个免费的Firefox账户,用于获取过往外泄事件的完整报告以及接收新外泄事件的警报。这样一来,Firefox Monitor在收集整理数据后,也会第一时间发送邮件通知用户尽快修改密码。
关于怎么加固密码,网站下方还给出了几个小贴士。除了建议用户不要给多个账号设置相同密码、给安全问题设置无厘头的答案以避免“门户大开”的低级错误,还向人们科普了一些有助于记忆密码的工具,例如1Password、LastPass、Dashlane和Bitwarden等密码管理器。毕竟就算是订阅了警报服务的人们,也一定希望永远不要收到来自Firefox Monitor的警告邮件吧。
相关阅读 教你避免“门户大开”
1.这样注册可以过滤绝大部分骚扰电话
经常会收到很多来历不明的推销电话、垃圾广告信息,这些泄露出去的信息,很大一部分是在注册各种账号或者填写各种信息的时候泄露的。所以建议大家在使用手机号码或者邮箱注册各种账号时,要视情况使用自己的常用号或者是工作号。对于一些人为安全保障不大、信息保护不安全的服务时,尽量用小号来进行注册。
但是,并不是所有注册或者信息填写都要使用小号,一些和钱、政务等相关的注册尽量使用自己的主号码。因为一方面这些机构对个人信息的保障还是相对到位,另一方面那些个人金融相关的信息还是保证能及时收取为妙。2.个人账号的授权要管好
现在登录一些网站时,都会使用微信、QQ等进行登录。虽然方便,但随意的授权加大了隐私泄露的风险。
如何管好这些授权?
以微信为例,在设置-隐私-授权管理中,可以看到自己通过微信授权登录的一些应用。但授权信息其实并不齐全,仅仅显示了已经授权的一些腾讯应用,其他应用或者网页上的授权并没有出现在这个页面里面。
由于微信在第三方网站的授权都是在那些网站上保存,所以要取消这些第三方网站的微信授权,需要到这些网站上去操作或者向客服发起请求,比较麻烦,但好在微信授予这些第三方网站的授权信息仅限于例如头像、昵称、所在地等基础资料。而且这些授权都是一次性的,不会随着你在微信上的更改而改变。另外,微信授权也是有时间限制的,一般最短是7天,最长是90天,当超过有效期时,需要用户重新授权。