苹果的iCloud“艳照门”事件前段时间也是闹得沸沸扬扬,各种求种子的也是让各大论坛看上去一片祥和,此处且按下不表。现在事件已经沉静下来了有一段日子,我们有必要看看在这起事件中我们到底应该注意到些什么。安全,这是完全无法回避的一个问题。密码,到底问题出在了哪?
我们先来简短地回顾一下整个事件。(可能会有点无聊,已经知道事件的网友可以直接跳下一页)就在本月初,一名黑客利用苹果手机的iCloud存储空间漏洞,进入了好莱坞女星Jennifer Lawrence的苹果手机并大肆盗窃拷贝其中储存的各类“不雅和自拍”图片,然后将其发布在网上出售以换取“比特币”。
这次的艳照门事件据传共流出了Jennifer Lawrence的60张不雅照,甚至有网友声称还搞到了视频。事实上除了Jennifer Lawrence之外,还有大量的女星于近期曝出不雅照事件,包括了Jennifer Lopez、Kirsten Dunst、Krysten Ritter、Kaley Cuoco、Yvonne Strahovski、Teresa Palmer和Jessica Brown Findlay等。
Jennifer Lawrence
苹果COE库克在事后强调“艳照门”事件并不是iCloud的安全性出了问题,而是黑客正确回答出了用户设置的一系列问题,或是利用钓鱼网站套取了用户的账号和密码,这都不是iCloud安全性的范畴。虽然这番言论有洗地的嫌疑,但是同样也说明很多人在密码安全管理上存在很大的问题。
后来苹果上线了新的安全通知服务,当有人使用Apple ID登陆网页端iCloud.com时,将会收到提醒电子邮件。而且新的系统允许用户立即采取措施,包括以更改密码的方式重新取得对账户的控制权,或者向苹果安全团队报告。
iCloud.com两步验证
除此之外苹果还正式为iCloud.com网站开启了两步验证机制,当用户想要访问iCloud .com网页应用时,登陆需要输入验证码。只有当用户输入正确验证码时,才可以访问邮件、通讯录、日历、提醒事项、Pages、Numbers和Keynote等应用 。不过查找iPhone功能依然可以无需密码使用。
不过有意思的是,一份苹果与某安全研究人员的来往邮件显示,伦敦的软件开发人员Ibrahim Balic在3月26日时就向苹果提交了一份安全反馈,称他已经成功绕过了iCloud安全机制,发动了Brute-Force攻击(穷举暴力破解密码)。并且他可以在任意iCloud账户上尝试2万多个密码组合,而账户并不会被锁定。
也就是说苹果早就知道了这个漏洞却没有任何行动,而女星的艳照也很有可能是通过暴力破解的方式泄漏出来的,苹果方面还是有着不可推卸的责任。
好了事件我们就了解到这里,关键是我们能从中挖掘出哪些与密码安全相关的信息来扩展出我们今天的话题。对与密码和那些与其相关的东西,我们又该怎么样去理解。今天我们试图用一种最直白简单的方法来聊聊“密码的那些事儿”。
