在雅虎突破之后你应该做的5件事
互联网巨头雅虎周三宣布了一个大规模的数据泄露,影响超过10亿账户,迄今为止历史上最大的数据违约。这在9月份的披露下,违反了不同违规的违规,影响了200多万的公司的客户。
与这种新的安全妥协有什么看法是它发生在三年前,于2013年8月,并将黑客带走了密码散列,可以很容易地破解。
如果您“重新yahoo用户,您应该考虑您的密码损害,并应采取所有必要的步骤来保护您的帐户。你应该遵循雅虎的所有建议,但这里还有一些你应该想到的:
1.不要保存你不需要的电子邮件
因为空间不再是大多数电子邮件服务的问题,因此用户往往永远不会删除电子邮件。虽然这是非常方便的,但它不是一个非常好的主意,因为它允许黑客通过搜索来自各种在线服务提供商的注册或通知电子邮件来轻松发现其他在线账户与该地址相关联。
除了在其他网站上的电子邮件地址和帐户之间曝光链接,注册和通知电子邮件还可以公开您选择的特定帐户名称,并与电子邮件地址不同。
您可能希望考虑清理欢迎电子邮件的邮箱,密码重置通知和其他此类通信。当然,黑客可能还有其他方法可以了解某个网站上是否有帐户,甚至是许多网站,但为什么可以更轻松地编译完整列表?
2.检查您的电子邮件转发和回复设置
电子邮件转发是其中一个“设置它并忘记它”的功能。该选项在电子邮件帐户设置中的某个地方埋下,如果它打开,则没有迹象表明它是活跃的。
黑客知道这一点。他们只需要访问您的电子邮件帐户一次,设置规则以接收所有电子邮件的副本,并不重新登录。这也可以防止服务向您发送有关重复可疑登录的通知来自无法识别的设备或IP地址。
另一个攻击者可能用于获取电子邮件副本的技术是在电子邮件设置中更改回复地址,尽管这是嘈杂的,但可以比转发规则更轻松地发现。
回复字段包含在您发送的每一封电子邮件中,并允许收件人的电子邮件客户端自动使用您在回复时选择的地址填充到字段。如果黑客将回复与他控件的地址更改为值,他将收到对您的所有电子邮件回复,这些内容通常包括您发送的原始电子邮件。
为了确保您还可以获得这些回复,攻击者可以在自己的电子邮件帐户中设置转发规则,并自动将这些回复转发给您的地址。
3.无处不在的双因素身份验证
打开双因素身份验证 - 这有时被称为两步验证 - 对于支持它的任何帐户,包括雅虎。这将提示在线服务询问通过短信,电话,电子邮件或由智能手机应用程序生成的一次性使用代码,当您尝试从新设备访问帐户时。除了常规密码外,还需要此代码,但雅虎还有一个名为帐户密钥的功能,可以通过电话通知完全使用常规密码,而是需要登录批准。
双因素身份验证是一个重要的安全功能,即使黑客窃取密码,也可以保持您的帐户安全。
4.永远不会重用密码
今天有许多安全的密码管理解决方案可以在不同的平台上工作。对于您拥有的每个帐户没有唯一,复杂的密码,没有任何借口。如果您确实想要一些关键帐户的难忘密码,请使用密码,而不是:由单词,数字甚至标点符号组成的句子。
据雅虎介绍,这次违约发生在2013年8月,当时公司哈达“T但是切换到更安全的Bcrypt密码散列算法。因此,大多数被盗的密码都是MD5哈希的形式,这极易受破裂。
如果您犯了在其他地方使用雅虎密码并避难所的错误,那么您应该立即审核这些帐户的安全设置。黑客很可能已经破解了你的密码并有三年虐待它。
5.网络钓鱼跟随违规行为
随着网络犯罪分子的努力利用对此类事件的公共利益,通常是电子邮件网络钓鱼尝试之后。这些电子邮件可以伪装为安全通知,可以包含下载通过作为安全工具传递的恶意程序的说明,或者可以将用户指向网站,以便在“验证”帐户的幌子下寻求其他信息。
在寻找此类电子邮件并确保您决定遵循安全事件的任何指令都来自受影响的服务提供商或可信源。雅虎邮政界面官方雅虎电子邮件易于识别,因为它们标有紫色Y图标。
在未来,在您选择分享的个人信息以及您选择分享它的哪些网站即使这些网站是合法的,也可以选择性。没有保证他们在未来赢得了“t被攻击,你只是不知道他们如何安全地存储您的详细信息。
在雅虎的情况下,受损的帐户信息包括姓名,电子邮件地址,电话号码,出生日期,在某些情况下,未加密的安全问题和答案。这些细节可用于冒充您或在其他网站上验证您。
如果可以避免它,请不要为安全问题提供真实的答案。制作一些东西,你可以记住并用它作为答案。事实上,雅虎也不会推荐使用安全问题,因此您可以进入您的帐户的安全设置并删除它们。