密码

运用一打iOS安全设置来保护移动设备听起来似乎不算麻烦。那么安卓系统呢？问题在于安卓移动操作系统貌似与iOS并无二异，但实际上却有很大的差别。安卓系统作为一种开源系统，使用灵活，正是这种特性让它在移动市场上独占鳌头，但同时也是导致碎片化问题的根源，这已经是如今人们频频讨论的一个话题了。 要区分在Nexus系统设备、三星/索尼/HTC智能手机上运行的安卓版本和在中国各种品牌机上运行的安卓版本非常简单。但有一些通用小贴士可确保安卓设备更安全，其中许多也同样适用于iOS系统。 当然，假设日常体验中存在折中做法，但在这种情况下，你得决定是使用舒适第一还是安全性第一。最终，用户总能在便利性和安全性两者之间找到最佳平衡点，并至少应该遵循下面列出的部分小贴士。 1.只从Google Play Store下载应用 实际上，安卓系统最”危险”的部分并不在操作系统本身，而在用户可以安装的应用上。相对于iOS，在安卓系统上自行安装应用或者”借助”其他用户的帮助来安装应用超级简单。但切勿从第三方平台和网站下载应用：这类应用很可能已被感染。更容易的办法是在设置中彻底禁用从第三方下载功能，并部署集成的应用安全检查。另外，还应拒绝root访问权限，因为授予此权限会使遇到被感染应用的风险大大上升。 好处所在：显著降低遇到恶意应用的机会。 设置方法：转至”设置”->”安全性”，取消选中”未知来源”框，选中”验证应用”。 2.小心应用权限 首先，应该只安装知名开发商提供的应用，或者安装Google推荐的应用。其次，每次安装应用时应该检查应用访问权限，了解应用要求有权访问哪些内容。如果壁纸应用或游戏要访问你的帐户、SMS、话筒、所在位置，或者要使用无限上网，那就非常可疑。 好处所在：显著降低遇到恶意应用的机会 设置方法：安装应用时，屏幕上会列出所有权限，在应用页面的底部还会有”查看权限”链接。如果已安装可疑的应用，请转至”Google设置”->”启用应用”，然后禁用不想运行的应用。 3.使用高强度密码 这是更加”全能型”的小贴士。用于解锁手机的密码应该使用复杂密码，而不是PIN码或图形码。最佳做法是使用至少包含10个字符的密码，其中含大小写混合字母、数字和符号。但每次解锁手机时，要输入许多符号并不方便，所以你应该多试几个密码，找到安全性高又方便使用的密码。密码应该定期更改。此外，请设置最短闲置时间，在此时间后启用锁定；另外还请禁用输入密码时显示密码的选项。注意，许多应用也利用了基于密码的安全性。 好处所在：显著减少他人访问你手机及上面内容的机会。 设置方法：转至”设置”->”安全性”->”屏幕锁定”，并选择”密码”作为锁屏方式。接着转至”设置”->”安全性”，并取消选中”显示密码”框。 4.加密数据 这非常简单！如果对手机上的数据加密，则没人能够访问这些数据，就算手机丢掉或被偷也不会发生数据泄露。最好是选择自己的密码，而不要使用PIN码，因为在目前的安卓版本中，加密只能基于密码/PIN码，并且加密强度只与密码强度息息相关。安卓5.0应该会改进此功能。 好处所在：在设备丢失时可防范数据外泄 设置方法：转至”设置”->”安全性”->”加密手机”，并另外选中”加密存储卡”。 5.小心Wi-Fi连接 默认情况下，安卓会尝试连接到你访问过的所有无线网络。对于某个开放接入点，很可能这并不是你使用的热点，而是网络犯罪分子创建的恶意热点。考虑到这点，首先请避免尝试接入公共热点，其次，对手机记住的Wi-Fi网络列表定期进行审核。此外，请禁用默认搜索开放的无线连接。 好处所在：降低意外连到潜在恶意Wi-Fi网络的机率。 设置方法：转至”设置”->”Wi-Fi”，按住记住的热点名称以调用菜单，通过此菜单可删除该网络；转至”高级设置”，并取消选中”始终搜索无线网络” 6.总是使用VPN 此贴士对于使用公共热点或不信任网络连接时非常管用。使用VPN能保护所传输的数据，同时（作为奖励）支持你访问在公共网络上因某种原因受限的资源。如今，可靠的VPN访问价格不再那么昂贵，最新型号的家用路由器都有自己的VPN服务器，你可以完全免费使用VPN访问。最好是使用L2TP或OpenVPN，它们提供的保护比广泛使用的PPTP要更可靠。为了防止在建立VPN连接之前数据外泄，请务必记得使VPN”始终启用”，或者禁用自动同步应用。 好处所在：加密流入和流出的数据。 设置方法：转至”设置”，在”无线连接和网络”中选择”更多…”-> VPN，在上下文菜单中，选中”始终启用VPN”，并选择连接；自动同步可以在”设置”->”帐户”中禁用。

十月，卡巴斯基实验室非常忙碌，陆续发表了重大突发性安全新闻和其他相关阅读资讯。从被感染的ATM和Android 5.0新加密系统，到网络”雇佣兵”和加密软件保护，无一遗漏。如果您错过了我们十月份发布的任何新闻，别担心！下面我们将简单回顾十月最热门的新闻，您可迅速掌握相关信息！ 请阅读十月最热门的#安全新闻#集锦。 采用全新加密系统的Android 5.0提供更为出色的数据保护能力。 最近，执法机构对Google和Apple感到相当不满。原因是最新版本的iOS以及安卓操作系统中存储的用户内容受到严格加密，连两家公司本身都无法对本地存储信息进行解密。这意味着即便有正当的理由，这些部门也无法保证能要求用户解密本地保存的数据。然而，隐私与安全倡议者们又进一步推出了新的全盘加密方案，似乎预示着消费者们即将迎来真正的移动数据安全时代。有些人认为这一系列举措过于冒失和鲁莽；另一些人则将此举视为对现有安全环境所进行的一场彻底变革，因为目前情况下，政府在缺乏任何监督下可轻易收集用户的信息。目前，Google正大肆宣传新采用的默认加密功能，新版Android Lollipop系统（简称为”Android 5.0″或”Android L”）中已纳入此默认加密功能。在新版系统中，密码或PIN码再加上一些内置的基于硬件的凭证才能推导出解密密钥。因此，暴力攻破密码依然可行，但要解密加密的硬盘空间则不可能。 换句话说：全球最流行的操作系统－安卓系统最终会更加安全。 如何记住强大且唯一的密码 已经是2014年了，但我们还是跟1999年一样，需要努力记住一长串密码。如果未来的技术仍然还要依靠落后的认证器的话，那我们还是需要找出一种可靠的解决方案来记住密码。这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。不幸的是，事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情：学习研究。在本研究中，参与者在过了100多天以后，被要求只凭借一幅场景和人物按照训练时的套路回忆起故事的动作和物品。要了解让研究人员震惊的实验结果，请阅读本文的剩余内容！最终的结果是，密码越少，越容易记住。这或许也解释了为什么几乎所有人都喜欢将同一个密码用于不同账户，就算他们清楚这样做会导致安全风险也不例外。但实验也带来了一些好消息－你可以使用本文中所述的相对容易的助忆技术来增强密码强度。 合法恶意软件和网络”雇佣兵” 完全可以想像，委托给计算机处理的日常工作越多，越容易吸引那些热衷于”挖掘”他人隐私的家伙，无论是出于恶意还是出于好意；网络入侵和间谍活动于情报局而言几乎算不上犯罪行为，但是日常工作的一部分。当今网络犯罪业务领域有一个重要的趋势即网络犯罪合法化，这与信息安全市场的定位完全不同。从卡巴斯基实验室的经验看，私自开发的合法恶意软件不仅会出售给”拥有合法权”的情报局，也会落入极端功利的第三方手中。这到底有多危险呢？可以说相当的危险。类似这样的恶意软件专为手握大把钞票的客户量身打造。其技术水平之先进，绝不是从信用卡中窃取几百块钱的不良少年或小偷小摸的犯罪行为能与之相比的。合法恶意软件开发者在开发的软件中运用了大量先进技术，甚至能骗过病毒分析人员的眼睛，防止他们一探究竟。但尽管如此，事实仍证明此类技术的确有其局限性：要想偷偷入侵系统并没有什么神秘性可言，需要的只是一款普通的恶意软件。 受感染ATM机造成数百万美元损失 黑客们从ATM机中取现与你我普通用户不同：他们取现无需任何的银行卡、PIN码或银行账户。在现实中，他们所需要的只是一台存放有现金的ATM机和一种特殊软件。应一家金融机构的要求，我们的全球研究和分析团队（GReAT）同事们进行了一项取证调查，调查目标是针对东欧地区数台ATM机进行的网络犯罪攻击。他们发现黑客利用一种称为”Tyupkin”的木马病毒来感染ATM机，ATM机被感染后，只要通过键盘输入特殊代码就能源源不断地吐出钞票。简言之：ATM机内的计算机感染”Tyupkin”后，会迫使ATM机在输入特殊代码时吐出钞票。网络犯罪分子能以某种物理方式访问ATM机，以便安装恶意软件。所使用的木马病毒拥有大量高级功能，攻击者的操作十分简单。幸好，目前黑客们只能感染某些型号的ATM机，但如果银行和ATM机制造商无法提高这些设备的物理和软件保护能力的话，可入侵的ATM机种类将持续增加。 将主电子邮箱账户的安全保护置于首位 想想看：不管创建哪个网站的在线账户，一般都会要求输入主电子邮箱作为账户名称。一旦你的在线账户遭窃或忘记密码，主电子邮箱账户还能帮助恢复在线账户。从这个角度看，主电子邮箱账户相比于PayPal或网银账户而言更具敏感性，因为一旦电子邮箱账户遭窃，PayPal和网银账户也将同样处于危险之中！除此之外，控制你电子邮箱账户的网络犯罪分子还会收集一些你使用其他在线账户的重要信息，然后对这些账户一一进行入侵。因此，电子邮箱账户一旦遭入侵，往往即意味着自己的整个数字生活遭受入侵。这也是我们为何反复强调使用高强度密码、启用双重认证以及对重要账户采取所有可能的安全控制措施的原因所在。但这还不是最坏的情况，更糟糕的是账户遭窃还会影响到你的所有联系人。一旦你的账户遭到入侵后，网络攻击者会以此为工具，攻击你的朋友、家人和网友的账户。幸好，你可以通过一款强大的反病毒解决方案保护自己免遭含有恶意软件的垃圾邮件攻击。卡巴斯基安全产品中还含有反钓鱼技术，能够检测出网络钓鱼网站并向用户发出警告。简而言之：保护主电子邮箱帐户需要的方法与保护在线网银帐户一样，甚至应该进行更严密的保护，因为主电子邮箱帐户是你最宝贵的在线帐户。 本周安全小贴士：如何防范加密病毒 以最终用户为目标的加密病毒已然成为了增长速度最快的恶意软件类型之一。编写这些病毒的目的是针对普通用户进行大规模网络勒索攻击。那在现实生活中到底是如何实施的呢？比如发生类似以下状况：”尊敬的董事长、副董事长以及董事们，请允许我为你们作年度报告陈述，为此我们已精心准备了2个月时间…欧…稍等片刻，好像出了点技术问题…”这种情况看起来似乎是计算机遭到加密病毒攻击而导致报告陈述隐藏。但实际情况是加密病毒作为一种恶意程序，阻止了用户访问计算机上的一些文件，并以此向受害者索取解密赎金。我们建议用户提前对有价值的文件采取保护措施，不要等到计算机被感染后束手无策。安装卡巴斯基安全软件以及调整相关设置都有助于保护计算机免遭最新威胁的攻击。请阅读全文了解具体安装设置操作。

今年是2014年。洛克希德马丁公司于近期宣布在开发可提供难以想象的巨量能源的紧凑型核聚变反应堆方面取得了实质性的进展，并有望取代清洁性差却能轻易开采的燃料能源。尽管科学技术飞速发展，但有一个领域依然停滞不前，那就是我们依然需要努力记住一长串的密码。如果我们在未来技术上仍然还要依靠落后的认证器技术的话，那我们还是需要想出一种可靠的解决方案来记住我们的密码。而这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。 不幸的是，事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情：学习研究。据Jeremiah Blocki、Saranga Komanduri、Lorrie Cranor和Anupam Datta所开展的研究表明，有间隔的反复训练搭配助忆术所构成的系统将能有效提升记忆力，让用户能在过了很长一段时间后依然能记住自己的密码。 密码的构成元素让我们想起了以下有关密码强度的XKCD漫画，也就是说，记忆要靠想象一些句子而不是用“脑残体”文字。 卡内基梅隆大学该项研究的参与者被要求从下拉菜单中选择一位人物，随后分配给随机产生的动作和目标。这一方法被称为人-动作-物品（PAO）故事法。因此你可以组成这样一句句子：尤达大师掉下了麦克风。” 在研究过程中所使用的助忆手段是向参与者展示设定好的一幅图片，然后想象图片中所发生的人-动作-目标的故事。比方说与我们故事有关的这幅图片显示的是一座水下实验室。那我们就可以组成这样一句句子：”尤达大师在水下实验室掉下了麦克风”。 现在你已经拥有6个单词，并且使用这6个单词可以组成足够强大的密码—你可以登录我们的安全密码检查网页来验证一下。该助忆技术的关键是你无需记住整句句子。 在本研究中，参与者在过了100多天以后，被要求只凭借一幅场景和人物（尤达大师在水下实验室）按照训练时的套路回忆起故事的动作和物品。不同的联想记忆训练间隔时间和所需记忆密码的不同数量（1个、2个或4个）造成各试验小组的测试结果不尽相同。 训练后12小时进行记忆测试的用户取得了最好的成绩，随后是12×1.5小时，后面以此类推：0.5天、0.5天、1.75天、4.15天、8.15天、14.65天、24.65天、40.65天、64.65天和101.65天。在该试验小组中，77.1%的参与者在过了102天后依然能成功回忆起9次试验中的所有4个故事。 “我猜你可能说我会对试验结果感到些许惊讶。如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩的话，我可能会说是30minX2（1小时），对于这个时间我也并不是那么完全自信。” 我将这一问题抛给了Blocki，想看看他是否会对试验结果感到惊讶。 “我猜你可能说我会对试验结果感到些许惊讶。”他说道。”如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩，我可能会说是30minX2（1小时），对于这个时间我也并不是那么完全自信。的确，12hrX1.5（18小时）这组的训练时间间隔更长。然而，连续联想记忆训练间隔时间并没有像30minX2（1小时）时间下增加的那么快。该试验结果证明了联想记忆训练时间间隔的重要性（不仅仅是联想记忆训练的总次数）。” 顺便提下，在头12个小时内最容易产生遗忘。在前几轮测试中记住故事的参与者中，有94.9%的人在随后几轮测试中也同样记住了这些故事。有些结果并不出乎意料，只需记住1个或2个故事的参与者的记忆成功率远远高于需要记住4个故事的参与者。 记住一长串密码需要我们做一些人人厌恶的事情：学习研究。 关于本次研究的更多内容，请参阅“Spaced Repetition and Mnemonics Enable Recall of Multiple Strong Passwords” [PDF]。你大可进行一番探究，但需要提醒的是，里面有太多内容讲的是极其复杂的数学问题。 今天我们到底学会了什么？首先，我们学会了如何更加容易地记忆位数较多的复杂密码。或许也明白了为什么几乎每个人都喜欢在不同账户使用同一个密码，尽管他们清楚密码会导致安全风险。换句话说，密码仍然不可避免地存在缺陷。 但同时也带来了一些好消息—你可以通过使用相对容易的助忆技术增强你的密码强度：

人们并非对所有类别账户都一视同仁，相比于对ESPN Fantasy Football账户的重视程度，对在线网银或PayPal账户的重视程度显然更高。 就算很少考虑安全问题的用户也会使用强大密码并在接入与个人资金有关的网络服务时加倍小心。但是，依然有许多用户对自己的主电子邮箱账户关心甚少，甚至将其作为其他所有账户的”万能钥匙”使用。 想想看：不管创建哪个网站的在线账户，一般都会要求输入主电子邮箱作为账户名称。其中的原因众多。首先，你所注册的网络服务之所以想要你的邮箱地址主要是出于营销和广告的目的，如此才能向你发送他们的产品促销广告。 对于用户而言更加重要的是，一旦你的在线账户遭窃或忘记密码，主电子邮箱账户还能帮助恢复在线账户。从这个角度看，你的主电子邮箱账户相比于PayPal或网银账户而言更具敏感性，因为一旦电子邮箱账户遭窃，PayPal和网银账户也将同样处于危险之中。 遭入侵的账户还会影响你的所有联系人。就好比拒绝给孩子注射流感疫苗的下场：不仅只影响你自己，还会影响周围的每一个人。 除此之外，控制你电子邮箱账户的网络犯罪分子还会收集一些你使用其他在线账户的重要信息，然后对这些账户一一进行入侵。因此，电子邮箱账户一旦遭入侵，往往即意味着自己的整个数字生活遭受入侵。 这也是我们为何反复强调使用强大密码、启用双重认证以及对重要账户进行所有可能的安全控制的原因所在。你需要担心的不仅仅是主电子邮箱账户。 Goolge和苹果账户依据你所使用的服务（尤其是是Gmail或iCloud）很可能会提供对大量在线和现实信息的访问。此外，Facebook和Twitter还有权访问数量众多的其他在线账户，因此同样需要引起重视。Facebook独有的连接功能甚至成为了整个网络的认证代理。 OpenID也提供类似的服务–一旦账户被盗–可以使得攻击者访问包括主电子邮箱在内的所有在线账户，因此需要对此严加防范。 很难说你使用的帐户是用于何种目的，但你应不定期地进行检查。仔细查看自己账户的设置页面并确定这些账户之间的相互联系以及连接第三方应用和网络服务的方式，并采取相应措施。 长话短说：你需要以处理网银账户的方式来处理你的主邮箱地址，由于它是你最重要的在线账户，因此需要更加仔细。你是否从公共网络或不熟悉的计算机上访问网银账户？不得以上述两种方式访问你的主邮箱地址，因为你根本无法确定所使用计算机是否向自己的一样安全。 不仅需要关心自己的电子邮箱账户。 一旦你的账户遭到入侵，还会影响你所有的联系人。就好比拒绝给孩子注射流感疫苗的下场：不仅只影响你自己，还会影响周围的每一个人。因为当你一旦感染麻疹，必定会提升感染与你接触的人的风险。 #将你主邮箱地址的安全性#置于首位，因为可能还会导致所有其他账户遭窃。 与此相类似，一旦你的账户遭到入侵，网络攻击者将其作为工具，以攻击你的朋友、其他家庭成员和网友的账户。一名”出色”的网络攻击者会通过入侵一个账户来收集信息并发送恶意邮件，使受害者无从分辨真伪。一款强大的反病毒解决方案将能保护你免遭含有恶意软件的垃圾邮件攻击。卡巴斯基安全产品内含反钓鱼技术，能够检测出网络钓鱼网站并向用户发出警告。此类保护功能，将能防止你将重要信息”交予”模仿合法网络服务的网站。最后，该类反钓鱼保护功能还能防止你不小心同时泄露密码和用户名，从而通过一次攻击就能获取有价值的账户。 保持网络安全并非易事，但如果我们能共同协作，遵照以上方法并部署多层保护的话，我们就一定能取得胜利。

今天《纽约时报》撰文报道了一个犯罪团伙如何从不同网站盗取了超过12亿个密码和用户名/邮箱。这似乎听起来是互联网有史以来最大的”密码盗窃案”，但由于相关细节还未公布，因此安全社区更多是持怀疑态度。首先，公众并不知晓底哪些网站成了攻击的目标。其次，也缺少技术方面的细节–几乎所有安全专家都想知道这些被盗密码是否采用了哈希加密。然而，普通用户只想道一件事–那就是现在是否需要采取行动，如果是，则应该采取哪些措施。 主要网络服务提供商并未向用户发出密码更改通知，这可能表示他们并未受到影响或根本就不想对终端用户造成不良后果。然而一家名为Hold Security的公司却公布自己的研究结果，声称受影响最多的是一些小型网站。这些网站通常并没有一套严格的安全程序，用户也无法指望从他们那儿收到数据泄露通知。 确保为每一个账户设置唯一密码，可将危险性降到最低。 本次所报道的”密码盗窃案”将是一个很好的契机，即改革当前混乱不堪的密码政策，转而使用更加安全和系统化的方法。”一旦你所使用的网络服务提供商遭遇黑客入侵，作为消费者你根本无能为力，但可通过为每一个账户设置唯一密码，将危险性降到最低。”英国卡巴斯基实验室高级安全研究员David Emm解释道。 设置唯一密码的安全性远高于其它的一些密码保护措施。用户计算机（例如：使用键盘记录器）或网络服务提供商遭到黑客入侵都有可能造成用户密码被盗。确保网络服务账号与其他重要账户使用的是不同密码。人们通常很难记住一长串字符，因此我们向大家推荐密码管理器。此外，每一个密码必须足够强大（可以用我们免费的密码检查器进行测试）。 密码泄露事件时常发生，使用唯一密码可将危险性降到最低。 对于一些重要账户（银行和Gmail等），我们强烈推荐采取额外的保护措施。这些网站通常都采用双重认证，即使密码被盗也影响不大。

胡扯八道! 你可以不相信我说的，但这可是微软公司和加拿大卡尔顿大学联合研究小组的研究成果，该小组在一份研究报告中称，密码重用不是什么大问题，只是管理大量在线帐户的必要策略而已。乍一看，他们的研究结果似乎在标榜传统智慧。但实际上，研究人员真正想要提倡的是分层密码系统，即共享密码的系统，在此系统中保留最强的密码用于最敏感的帐户，而较弱的密码用于不太重要的帐户。 毫无疑问，为每个在线帐户设置唯一密码是目前最安全的做法。但是，每次登录不同账号都需输入不同密码实在太过繁琐，且难以持久。 研究人员称，密码管理工具也并不是完美无缺的。理由完全可以想得到：因为从本质上说，此类工具只提供唯一的访问点，但同时黑客也可利用这个入口窃取用户的所有密码。 如果我说自己每个在线帐户都用的是不同的密码，那我一定是在撒谎。但是，对于与财务或特殊敏感信息相关的任何帐户，我肯定会推荐用户使用唯一的强密码。至于密码管理工具，它们所提供的保护肯定要比我们大多数人做得好。 此举极大扼制了黑客及试图监视这些传输的不良意图者的行为。 Project Zero Google组建了一支超级安全团队，成员几乎清一色是全球顶级的互联网黑客，宗旨是找出第三方软件中的漏洞，以及互联网中影响客户并最终影响其业务的其他因素。该团队的任务就是发现bug，并向有关供应商进行报告，解决解决问题，并曝光发现结果。该团队被叫做Project Zero。 “我们没有对此项目设置任何条条框框，我们的目标是改进众多用户所依赖的软件的安全性，密切关注攻击者的技术、目标和动机。”Project Zero负责人、曾长期担任谷歌Chrome安全工程师的Chris Evens写道。”我们将采用各种标准方法，例如查找和报告大量漏洞。此外，我们还将在缓解、开发、程序分析方面进行新的研究，研究人员决定研究的其他任何内容都是有价值的投资。” 苹果应用Crypto 本周，苹果公司应用了已经取得巨大成功的Crypto，此软件用于静默加密进出苹果服务器的iCloud.com、mac.com和me.com域的几乎所有电子邮件。此举极大扼制了黑客及试图监视这些传输的不良意图者的行为。 正如Threatpost的编辑Dennis Fisher所述，这堪称一项壮举： “苹果利用TLS加密了自己的电子邮件域名，此举可称得上是一大变革，因为加密是在服务器级别进行的，无需用户在客户端执行任何操作就能提高安全性。众所周知，在桌面上加密电子邮件是一个痛苦的过程，而且只对单封邮件有效。而像苹果这样级别的供应商大规模实施加密，给那些”财力雄厚”的攻击者们当头一棒。利用单封邮件加密来防范某些形式的有针对性监视或攻击，是一种不错的方法，但对于像Yahoo、Google或苹果这样的大型电子邮件提供商来说，加密与其他提供商之间的通信有助于保护大批用户。” 修复补丁 谈到密码管理工具，免不了会提及LastPass，这是一种流行的基于浏览器的密码管理工具，最近此工具修复了若干漏洞。无所不知的黑客能够利用这些漏洞来生成自己的一次性密码，以用于访问受害者的帐户。 Google将改变恶意软件和网络钓鱼网站警告。原先的警告是红底白字，现在整个页面为红色，顶部显示醒目的X。恶意软件警告和网络钓鱼警告都会提醒用户，即将访问的该站点可能尝试在计算机上安装危险的程序，或者有泄露个人信息的风险。 思科公司提供了漏洞补丁，用于修复其无线住宅网关产品中的漏洞；Google发布Chrome安卓版更新，解决了URL欺诈问题。 一周综述#Kaspersky Daily的@TheBrianDonohue #安全头条新闻：

我们在播客中曾经录制过相关内容，在其中我们用了大量视频（我会在下面嵌入这些视频）详细讨论了双重认证。之前我们也在无数文章中间接提到过双重认证。但是抽时间专门写一篇文章来讨论双重认证的定义、工作原理和适用场景，这还是头一次。 什么是双重认证？ 双重认证是许多在线服务提供商所提供的一种功能，它要求用户提供两种形式的认证，为用户的帐户登录过程额外上一道保险。第一种形式通常是密码。第二种形式可以是任意认证。可能最流行的第二重认证是短信或电子邮件验证码。双重认证背后的理论是：要进行登录，用户必须知道某项内容并掌握它。因此，为了访问公司的虚拟专用网，用户可能需要密码和U盘。 双重认证虽然不能保证帐户万无一失，但无论谁想入侵受双重认证保护的帐户，它都会是一个难以逾越的障碍。 双重认证虽然不能确保帐户万无一失，但无论谁想入侵受双重认证保护的帐户，它都会是一个难以逾越的障碍。我认为密码有众所周知的严重缺陷：简单的密码易记但也易破；而复杂的密码虽然难破，但也很难记住。为此，对创建密码不在行的用户会一再使用相同的密码。至少使用双重认证后，攻击者除了得破解密码外，还得有权访问第二重认证，而要取得第二重认证，就得窃取手机，或者入侵电子邮件帐户。 什么是双重认证，哪些情况下应该启用双重认证？#安全性#密码 人们总是频繁更换密码，但实际上没有什么用。根据目前的情况，良好的双重认证系统是用户所能获得的最佳保护。双重认证系统的另一个优点是用户能获知是否有人在盗用自己的密码。我之前可能说过无数次，如果手机或电子邮件帐户中收到双重验证码，但你并未尝试登录与其关联的帐户，则说明有人在盗用你的密码，正尝试入侵你的帐户。无论什么时候，一旦发现这种情况，请立即更改密码。 哪些帐户应该启用双重认证？ 对于在什么时候，在哪些情况下应该启用双重认证，请遵循一个简单的规则：如果相关服务提供了双重认证，并且您认为帐户非常重要，则应该启用双重认证。那么Pinterest（世界上最大的一家图片社交分享网站）呢？我不知道，也许会启用吧。如果我有Pinterest帐户，我不太会愿意每次登录都麻烦地进行双重认证。但是，网银、主次电子邮件（尤其是如果具有专用帐户恢复电子邮件地址）、重要的社交网络（或许是Facebook和Twitter），当然还有AppleID或iCloud，或者任何用于控制安卓设备的帐户（如果有），所有这些都应该通过第二重认证进行保护。 点击此处观看视频。 显然，你还需要考虑是否要为任何工作相关帐户提供第二重认证。如果您是网站管理者，则会希望考虑锁定注册服务帐户，不管此帐户是WordPress、GoDaddy、NameCheap还是其他什么帐户。我们还建议为信用卡或借记卡关联的所有帐户启用双重认证：PayPal、eBay、eTrade等等。同样，启用双重认证的决定应该基于以下考虑：提供相应功能的任何帐户被盗会带来多大的破坏性。 有其他形式的双重认证吗？ 目前为止，我们讨论的双重认证是向手机或电子邮件帐户发送验证码，或者通常将U盘与密码一起用于VPN访问。此外，还有钥匙串验证码生成器，例如RSA的SecureID，它一般用于企业环境。目前，这些是主流形式的双重认证。当然，还有其他形式的双重认证。 交易验证码（TAN）是略有些过时的第二重认证形式，在欧洲很流行，我本人实际从未使用过，但如果我的理解没错，此类验证的过程如下：银行会向您提供一张交易验证码表（印在纸上），每次进行网上交易时，都应输入其中一个验证码以进行验证。ATM机是另一种老式双重认证形式。必须同时拥有借记卡和知道PIN密码，方能取现。 最近的报告中有大量内容在讨论利用生物特征识别技术的双重认证。有些系统要求提供密码和指纹、虹膜扫描、心跳或其他一些生物手段。可穿戴设备的发展势头也逐渐增大。一些系统要求佩戴内嵌某种无线射频芯片的特殊手链或其他配饰。我还读到过可用于第二重认证的电磁纹身的相关研究报告。 Google和Facebook都推出了手机应用专用密码生成器，支持用户生成一次性密码，取代短信或电子邮件验证码。 点击此处观看视频。

在线零售和拍卖网站巨头eBAY于今晨宣布网络攻击者盗取了其包含加密用户密码和其它敏感信息的一个数据库。公司计划于今天晚些时候通过邮件方式告知受影响用户并在其网站上发布通告。在接下来的时间里，eBAY用户将因此而被迫更改密码。 公司表示不认为存在导致数据库外泄的任何未授权客户账户活动。此外，eBay Inc.声称用户财务数据及PayPal信息并没有处于危险，原因在于这些数据都已加密且单独存储在未受影响的服务器内。 “网络攻击者只是盗取了一小部分员工登陆证书，使其能够非法访问eBay的企业网络，”公司在声明中说道。”通过与法律机关和行业领先的安全专家携手努力，公司正在对相关事件展开积极调查并应用最出色的取证工具进行取证，以保护客户账户安全。” 有消息称，存储在被盗数据库内的信息包含了eBAY客户姓名、加密密码、邮箱地址、物理地址、电话号码以及出生日期等数据。eBay表示在两周之前首次发现被盗员工证书，随后不久即声称已确定受影响的数据库，并正在与受影响客户取得联系。 由于数据外泄导致用户加密证书被盗，eBay用户将被迫更改密码。 eBay账户持有人应在今天晚些时候收到一份来自公司的email通知，eBay也将于同一时间在其官网发布相关公告。 用户将最终将被迫更改eBay账户密码，且如果他们在其他网站也使用了相同的密码，则需一并更改。来自网络安全公司Rapid7的全球安全战略家Trey Ford在其一封email中说道，这些密码将最终被破解，因此用户更改eBay账户密码及任何共享密码显得尤为重要。 这一事件恰恰解释了我们不应共享密码的原因所在。一旦此类事件发生，攻击者即创建多个自动工具，使用被盗用户名和密码登陆一些流行的在线网站，试图盗取这些网站的账户。 “用户应提防声称是eBay或任何其他公司为该事件而主动联系的人，”Ford继续说道。”我预测会出现大量的钓鱼网站，因此请勿点击email内的链接或电话回答任何相关的问题。 这一点尤为重要：确保通过浏览器直接登陆eBay网站更改密码。切记不可通过邮件内的链接来更改密码。随着这一事件新闻逐渐传播开来，攻击者很有可能开始炮制网络钓鱼邮件-声称该封邮件来自于eBay，甚至PayPal也有可能。此类邮件内通常向用户提供恶意网站的链接，但看起来与真正的官网相差无几。这些链接要求用户进行密码重置，但事实上他们常常在用户不知情的情况下轻而易举地获得用户登陆信息。

安全并非仅仅是反恶意软件保护。作为一个概念，移动安全由以下几项组成：隐私保护功能、对不守规矩的应用程序的权限限制，备份功能（防备智能手机损坏）、针对骚扰电话的黑名单，以及加密和家长控制功能。安卓是一个非常灵活的操作系统，并且如果您从Google Play中选择合适的安全应用，则能很好地应对这些难题。不过由于存在大量合适的应用程序，因此我们决定做一个最佳安全应用程序的简表，希望对您有所帮助。 App Lock 应用程序和多媒体的密码保护 免费/付费 几乎智能手机上的所有应用程序可对所有人开放，即使您不是机主也可同样使用手机上的所有应用。而事实并非如此。你的朋友可能会拿你的手机”只是想看看里面有什么”，孩子会玩手机，同事和亲戚会纯粹出于好奇摆弄您的手机。对于后两种情况下，图形验证码或PIN锁本可以起到作用，但是在您将手机交给朋友或孩子前，你必须解锁。因此，只需几下点击，您的所有私人数据就会被曝光。App Lock通过创建受保护应用列表来解决这一问题。在启动这些应用时，必须输入一个额外验证码。此外，您还可以在受密码保护的媒体库中存储一些私人照片和视频，剩下的则可存放在普通文件夹中。”偏执狂”用户可以使用App Lock将应用程序隐藏，在这种情况下，应用程序设置只能通过秘密拨号码激活。 App Ops 撤销应用程序权限 免费 无论安装哪些应用程序，安卓系统都会通知您需要哪些权限。如果您碰巧发现新安装的”动态壁纸”需要访问您的联系人列表以获取文本信息（顺便说一下，这是一个非常不好的迹象，在此类情况下，最好不要安装该应用），您别无选择，要么接受不良后果，要么选择放弃安装。然而，越来越多的应用程序需要更多的”额外”权限。事实就是如此，因此Google开发了一款可以对已经安装的应用程序进行权限撤销的工具。此功能在安卓4.3版上可立即获得，被称为App Ops。遗憾的是，在4.4.2版中撤掉了这款工具。App Ops 简单提供对Google的设置屏幕的访问，您可在设置屏幕限制任何应用程序对联系人列表、用户地理位置等信息的访问。遗憾的是，在安卓4.4.2版和之后的版本中，App Ops 功能需要root权限。对于安卓系统4.3以下的版本，不提供App Ops功能，但是LBE Privacy Guard应用程序提供了一套类似的功能。 安卓系统的隐藏功能：撤销已经安装应用程序的权限。例如，您可以通过一款应用程序来禁用GPS跟踪。 EDS 智能手机数据加密 8美元 对于那些在智能手机中存储机密文件的人，类似App Lock的应用程序或PIN码不足以保护数据。在安卓系统3.0版和更高版本中，操作系统提供了对存储在智能手机上的所有数据进行加密的功能。这个进程用于确保数据的最大安全性，但在每次用户希望使用智能手机时，都需要输入一个繁琐冗长的密码，否则这种方法毫无用处。每天输入50次密码令人无比抓狂，因此人们采用了替代方法：只对最敏感的数据加密。类似EDS这样的应用程序是一个合适的选择。它会在智能手机内存中创建一个容器格式文件，并对内容进行安全加密。将文件存放在这样的容器中可确保他人无法访问文件。EDS拥有两种模式。其中较为简单的模式需要完全手动操作容器。更为高级的模式需要root权限：在这种情况下，加密容器在运行时可被当做移动存储驱动器使用。在将文件保存到存储驱动器时，可自动对其进行加密。重要提示：EDS容器与TrueCrypt桌面应用程序兼容，从而简化了系统之间的数据交换。 推荐终端用户使用该应用程序，而企业和公司用户则需要安装一个特殊的MDM解决方案，以提供全面的移动安全方法。 Funamo

密码哈希函数（通常简称为哈希算法）是一种数学算法，用于将任意一组数据转换成长度固定的一串新字符。不管输入数据的长度是多少，同类型的哈希算法始终输出固定长度的哈希值。 因此，根据网上的SHA-1哈希生成器（SHA-1与MD 5和SHA-2都是部署最广泛的一种计算哈希函数），比如我的名字Brian生成的哈希值为：75c450c3f963befb912ee79f0b63e563652780f0。可能其他”Brian”会告诉你说，Brian这个名字被误拼成”brain”是极为常见的事。实际上，我以前有一张驾照上面的名字就被拼成了”Brain Donohue”，但这另一个故事了。brain通过在线SHA-1生成器生成的SHA-1哈希值是：8b9248a4e0b64bbccf82e7723a3734279bf9bbc4。 你看，这两个输出值截然不同，虽然在名字中Brian和表示中枢神经系统器官的这个单词brain之间差异完全在于连续的两个元音字母的位置（”ia”和”ai”）。更明白地说，如果我只把名字的第一个字母改为小写，SHA-1生成器的也会返回完全不同的哈希值：760e7dab2836853c63805033e514668301fa9c47。 密码哈希函数是计算中使用最普遍的工具，几乎可用于一切计算，从身份验证到恶意软件检测再到文件保护。   您会注意到，上述所有哈希值的长度都是40个字符，这并不令人吃惊，因为上面输入内容的长度均为5个字符。但如果在哈希生成器中输入本文到目前为止的所有单词，你会吃惊地发现返回以下哈希值：db8471259c92193d6072c51ce61dacfdda0ac3d7。也就是这1637个左右的字符（包括空格）和上面的5个字符的单词一样，经压缩后输出40个字符。你可以用SHA-1哈希算法对莎士比亚全集进行计算，最终也是输出40个字符。而最让人吃惊的是绝不会有两个不同的输入生成相同的哈希输出。 下图由Wikimedia Commons制作，说明的是上述概念，供您直观地学习： 哈希算法适用于哪些情况？ 问得好。但很遗憾，答案是密码哈希算法适用于很多很多种情况。 对你我来说，最常见一种哈希算法形式是对密码进行哈希加密。例如，如果忘记了某个在线服务的密码，则很可能必须执行密码重置。重置密码时，通常你不会收到返回的明文密码。原因是在线服务并不会存储您的明文密码，而是存储密码的哈希值。事实上，该服务（除非使用的是极其简单的密码，这种密码的哈希值广为人知）并不知道您的真正密码。 确切地说，就是如果你收到的返回密码是明文，则说明你使用的在线服务未对密码进行哈希加密，这不失为一种羞耻。 您可以通过在线逆向哈希生成器自行进行测试。如果生成不安全密码（例如，”password”或”123456″）的哈希值，则在逆向哈希生成器中输入该哈希值时，逆向哈希生成器很可能会识别出示例中任一密码的哈希值。对于前文所举示例，逆向哈希生成器可以识别出”brain”和”Brian”的哈希值，但无法识别出代表本文正文的哈希值。所以哈希值输出的安全性完全依赖于输入数据，而输入数据几乎可以为任何内容。 对于这一点，据上月晚些时候TechCrunch的报告，流行的云存储服务Dropbox依据美国《数字千年版权法》，阻止了一名用户共享受保护内容。该用户在Twitter上写道，他被阻止共享特定内容，这一事件经由Twitter迅速发酵升温，人们对于Dropbox必定窃取了用户内容而大为不满，尽管隐私政策中明确承诺不会这样做。 当然Dropbox实际上并未窃取任何用户内容。据TechCrunch的文章中所述，导致这一事件发生的可能原因是版权持有者拿到版权文件（也许是数字版歌曲或电影）后，通过哈希函数来传送该文件。取得输出的哈希值后，他们将这一串40个字符加入了某种版权保护资料哈希黑名单。这样在用户尝试分享该版权保护资料时，Dropbox的自动扫描程序就会挑选出列入黑名单的哈希值，从而阻止资料分享。 所以，显然你可以对密码和媒体文件进行哈希加密，但密码哈希函数还有哪些其他用途呢？同样，实际答案是哈希函数的用途远远超出我的所知，也不在我的写作关心范围内。但是还有一个非常贴心的哈希应用是Kaspersky Daily。哈希算法被卡巴斯基实验室等反病毒软件公司用于恶意软件检测，部署广泛。 同样，电影制片厂和唱片公司也制定了哈希黑名单来保护版权数据，此外还有数量不定的恶意软件哈希值黑名单，其中大多数公开提供。这些恶意软件哈希（或恶意软件签名）黑名单由恶意软件哈希值或更小的可识别恶意软件组件的哈希值构成。一方面，如果用户发现了可疑文件，则可以在众多公共可用的恶意软件哈希注册表或数据库中选择一个来输入该文件的哈希值，输入后注册表或数据库会通知用户该文件是否为恶意文件。另一方面，反病毒引擎识别并最终阻止恶意软件的一种方法就是将文件哈希值与引擎自己的（以及公开的）恶意软件签名存储库中的进行比对。 密码哈希函数还可用于确保消息完整性。换言之，你可以借此确保某个通信或文件未被窃取，方法是检查数据传输前后生成的哈希输出值是否一致。如果前后哈希值完全一致，则传输可称得上是可靠的。

更新：在上一篇有关此漏洞的文章中曾提到（引用了Github上的列表）HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示，他们的用户并未受此漏洞的影响，所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表，这些服务官方推荐更改用户密码。 NPR（美国国家公共广播电台）主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后，人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题，这次是OpenSSL中的一种严重的加密漏洞，被戏称为”Heartbleed”（心滴血）。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL，别担心，下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后，数据都将使用SSL/TLS协议进行加密，不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候，OpenSSL的维护人员针对一种严重漏洞发布了修订，此漏洞在实现TLS功能时出现，称为”Heartbeat”（心跳包），攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说，如果保护机器的库是有漏洞的版本，那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码，甚至包括服务器用于加密连接的专用密钥。此外，利用Heartbleed漏洞不会留下痕迹，没有确定的方法来判断服务器是否被黑客入侵过，也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是，该漏洞很明显能够被轻松利用，而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗，包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新：Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书（下面有更多检查相关内容）的时间，只需在以下所有站点上更改密码即可：Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码！ 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞，但你还需要知道之前是否有存在过。很幸运，你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是，PayPal和Google未受影响。坏消息是，Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户，请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后，还需要考虑重新发布网站证书。因此准备好监视服务器证书，并确保使用的是最新证书（4月8日或之后发布的证书）。为此，请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期，请点击地址栏中的绿色锁图标，然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后，最重要的一步是立即更改密码。此时可修改密码策略，并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。