01 雙因素認證，化解密碼安全的危機

詹妮弗·勞倫斯（Jennifer Lawrence）度過了一個艱難的周末。2014年的一個早上，這位奧斯卡金像獎得主與其他一些名人醒來后發現，他們最私密的照片正在互聯網上掀起軒然大波，其中很多是裸體照片。

現在，花點時間回想一下當前保存在你的計算機、手機和電子郵件里的照片。當然，其中很多都是完全無害的。就算全世界都看到你那些日落照片、可愛的家庭快照和頭發亂糟糟的滑稽自拍，對你來說也無關緊要。但你愿意分享你所有的照片嗎？如果這些照片突然全都出現在網上，你會怎么想？所有照片都記錄了我們的私密瞬間。我們應該能夠決定是否、何時以及怎樣分享它們，而云服務并不一定總是我們的最佳選擇。

2014年那個漫長的周末，媒體上充斥著詹妮弗·勞倫斯的故事。這是被稱為“theFappening”的巨大泄露事件的一部分。在這一事件中，蕾哈娜（Robyn Rihanna Fenty）、凱特·阿普頓（Kate Upton）、凱莉·庫柯（Kaley Cuoco）、阿德里安妮·庫瑞（Adrianne Curry）及其他近300位名人的私密照片被泄露。這些名人中大多是女性，她們的手機照片通過某種方式被人獲取并共享出來。可以預見，盡管有些人會對查閱這些照片感興趣，但對更多人來說，這是一個讓人不安的警示，因為這樣的事情也可能會發生在他們身上。

那些人究竟是如何獲得了詹妮弗·勞倫斯等人的私密照片呢？

這些名人都使用iPhone手機，人們最早的猜測集中于一次大規模數據泄露，這次泄露影響到了蘋果公司的iCloud服務，而iCloud是iPhone用戶的一個云存儲選擇。當你的物理設備存儲空間不足時，你的照片、新文件、音樂和游戲都會被儲存到蘋果的服務器上，而且通常只需要少量月費。谷歌也為安卓系統提供了類似的服務。

幾乎從來不在媒體上評論安全問題的蘋果公司否認這是他們的錯誤。蘋果公司發表了一份聲明，稱該事件是一次“對用戶名、密碼和安全問題非常有針對性的攻擊”，該聲明還補充說“在我們調查過的案例中，沒有一項是由蘋果系統（包括iCloud和‘查找我的iPhone’）的任何漏洞導致的”。

這些照片最早出現在一個以發布被泄露照片而出名的黑客論壇上。在那個論壇上，你可以看到用戶在活躍地討論用于暗中獲取這些照片的數字取證工具。研究者、調查者和執法人員會使用這些工具從聯網設備或云端獲取數據，這通常發生在一場犯罪之后。當然，這些工具也有其他用途。

手機密碼破解軟件（Elcomsoft Phone Password Breaker，簡稱EPPB）是該論壇中被公開討論的工具之一，該工具的目的是讓執法機構和某些其他機構可以進入iPhone用戶的iCloud賬號。而現在，該軟件正在公開銷售。這只是論壇中的眾多工具之一，似乎也是最受歡迎的一個。EPPB需要用戶首先擁有目標iCloud賬號的用戶名和密碼信息。但對使用這個論壇的人來說，獲取iCloud用戶名和密碼并不是什么難事。在2014年的那個周末就發生了這種事，某人在一家流行的在線代碼托管庫（Github）上發布了一個名叫iBrute的工具——這是一種專為獲取iCloud憑證而設計的密碼破解系統，幾乎可以用在任何人身上。

同時使用iBrute和EPPB，就可以冒充受害者本人將其所有云存儲的iPhone數據全部備份下載到另一臺設備上。這種功能是有用處的，比如當你升級你的手機時。但這個功能對攻擊者也很有價值，他們可以借此查看你在你的移動設備上做過的一切。這會比僅僅登錄受害者的iCloud賬號提供更多的信息。

取證顧問和安全研究者喬納森·扎德爾斯基（Jonathan Zdziarski）告訴《連線》雜志，他對凱特·阿普頓等人泄露的照片進行了檢查，結果與使用了iBrute和EPPB的情況一致。取得用于恢復iPhone的備份能給攻擊者提供大量個人信息，這些信息之后可能會被用于敲詐勒索。¹

2016年10月，36歲的賓夕法尼亞州蘭開斯特人瑞安·柯林斯（Ryan Collins）因“未經授權訪問受保護的計算機獲取信息”被判處18個月監禁。他被控非法訪問超過100個蘋果和谷歌電子郵件賬號。

你必須設置一個強密碼

為了保護你的iCloud和其他網絡賬號，你必須設置一個強密碼（strong password）。然而，以我作為滲透測試員（靠入侵計算機網絡和尋找漏洞賺錢的人）的經驗，我發現很多人在設置密碼方面都表現得很懶惰，甚至大公司的高管也是這樣。比如索尼娛樂（Sony Entertainment）的CEO邁克爾·林頓（Michael Lynton）就使用“sonyml3”作為自己的域賬號密碼。難怪他的電子郵件遭到黑客攻擊并被傳播到了互聯網上，因為攻擊者已經獲得了訪問該公司內部幾乎所有數據的管理員權限。

除了與你工作相關的密碼之外，還要注意那些保護你最私人的賬號的密碼。即使選擇一個難以猜測的密碼，也無法阻擋oclHashcat（一種利用圖形處理器即GPU進行高速破解的密碼破解工具）這樣的黑客工具破解你的密碼，但這會讓破解過程變得很慢，足以使攻擊者轉向更容易的目標。

我們可以大致猜到，2015年7月阿什利·麥迪遜（Ashley Madison）被黑事件曝光的密碼中有一些（包括銀行賬號甚至辦公電腦密碼）肯定也被用在了其他地方。在網上貼出的1 100萬個阿什利·麥迪遜密碼的列表中，最常見的是“123456”“12345”“password”“DEFAULT”“123456789”“qwe rty”“12345678”“abc123”“1234567”。如果你在這里看到了自己的密碼，那么你就很可能遭遇數據泄露，因為這些常見密碼都被包含在了網上大多數可用的密碼破解工具包中。你可以隨時在www.haveibeenpwned.com網站上查看你的賬號過去是否暴露過。

在21世紀，我們可以做得更好。我的意思是要好得多，這要用到更長和更復雜的字母與數字搭配。這可能聽起來很難，但我會向你展示能做到這一點的一種自動方法和一種手動方法。

最簡單的方法是放棄自己創造密碼，直接自動化這個過程。市面上已經有一些數字密碼管理器了。它們不僅可以將你的密碼保存在一個加鎖的保險箱中，還允許你在需要它們的時候一鍵訪問，甚至可以在你需要時為每個網站生成一個新的、安全性非常強的獨特密碼。

但要注意，這種方法存在兩個問題。一是密碼管理器需要使用一個主密碼進行訪問。如果某人剛好用某種惡意軟件侵入了你的計算機，而這個惡意軟件可以通過鍵盤記錄器（keylogging，一種能記錄你的每一次按鍵的惡意軟件）竊取你的密碼數據庫和你的主密碼，那你就完蛋了。然后那個人就會獲得你的所有密碼。在參與滲透測試期間，我有時候會使用一個修改過的版本來替代密碼管理器（當該密碼管理器開源時），該版本會將主密碼發送給我們。在我們獲得客戶網絡的管理員權限之后，這個工作就完成了。然后我們就可以使用所有的專用密碼了。換句話說，我們可以使用密碼管理器作為后門，獲取進入王國的鑰匙。

另一個問題相當明顯：如果丟失了主密碼，你就丟失了你所有的密碼。最終來看，這并無大礙，因為你可以隨時在每個網站上進行密碼重置，但如果你有很多賬號，操作起來就會非常麻煩。

盡管有這些問題，但下面的小竅門應該也足以保證你的密碼安全。

首先，你應該使用很長的強密碼短語（strong passphrase）——至少有20個或至少有25個字符，而不是簡單的密碼。隨機字符效果最好，比如ek5iogh#skf&skd。不幸的是，人類的大腦難以記憶隨機序列。所以就使用密碼管理器吧，使用密碼管理器比自己選擇密碼要好得多。我傾向于使用開源的密碼管理器，比如Password Safe和KeePass，它們只會將數據儲存在你的本地計算機上。

另一個重要的規則是，永遠不要為兩個不同的賬號使用相同的密碼。如今，基本上做任何事都需要密碼，所以就讓密碼管理器來幫你生成和保存獨一無二的強密碼吧。

即使你有強密碼，仍然有技術可以打敗你，比如John the Ripper這樣的密碼猜測程序。這款任何人都可以下載的免費開源程序可以根據用戶配置的參數進行工作²。比如，用戶可以指定嘗試多少個字符、是否使用特殊符號、是否包括外語集合等。John the Ripper和其他密碼破解器可以使用規則集來排列密碼字符，從而非常有效地破解密碼。簡而言之，它會嘗試參數設定之內的所有可能的數字、字母和符號組合，直到成功破解你的密碼。幸運的是，大多數人都不用對抗擁有近乎無限時間和資源的國家機關。我們更有可能要對抗配偶、親戚或某個我們真正惹惱了的人，而在面對一個有25個字符的密碼時，他們不會有時間和資源來成功破解。

用隱晦的方式把密碼寫下來

假設你想按傳統的方式創建密碼，并且你選擇了一些非常強的密碼。你猜怎么著？你完全可以把它們寫下來，只要別寫成“美國銀行：4the1sttimein4ever*”就行。這實在太明顯了。你可以用某種隱晦的方式來表示你的銀行名稱等信息，比如使用“餅干罐”（因為有些人曾經把他們的錢藏在餅干罐里面），然后再加上“4the1st”。注意，我沒有寫完這個短語。你也不需要寫完。你知道這個短語的其余部分，但其他人可能不知道。

將這個不完整密碼的列表打印出來應該足以迷惑任何找到這個列表的人，至少一開始會迷惑他們。說個趣事：有一次我在一個朋友家，他是一位非常知名的微軟公司的員工。吃晚餐時，我們與他的妻子和孩子討論了密碼的安全性。我朋友的妻子起身走向了電冰箱。她把自己所有的密碼都寫在了一張紙上，并且用磁鐵將其貼到了電冰箱門上。我的朋友只是搖了搖頭，我咧嘴一笑。把密碼寫下來可能不是一種完美的方案，但忘掉那些不常用的強密碼也不好。

密碼字符最好超過25位

銀行等機構的網站會在幾次（通常是3次）密碼輸入錯誤之后鎖定用戶。但仍然有很多網站不會這樣做。不過，就算一個網站在3次嘗試失敗之后會鎖定用戶，也無法阻擋那些壞人，因為這并不是他們使用John the Ripper或oclHashcat的方式。（順便說一下，oclHashcat會將入侵過程分布到多個GPU上進行，這比John the Ripper要強大得多。）而且在一個真實的網站上，黑客實際上并不會嘗試每一個可能的密碼。

假設已經出現了一起數據泄露事件，在其數據轉儲中包含用戶名和密碼。但從這次數據泄露中檢索到的密碼基本上都是毫無意義的。

這將如何幫助其他人入侵你的賬號呢？

無論是解鎖你的筆記本電腦還是登錄一個在線服務，不管什么時候你輸入了密碼，這個密碼都會通過一個被稱為哈希函數（hash function）的單向算法傳遞。這不同于加密。加密是雙向的：只要你有密鑰，就可以加密和解密。而哈希是一種表示特定字符串的指紋。理論上而言，單向算法無法逆向進行，至少不容易進行。

存儲在你的傳統個人電腦（PC）、移動設備或云賬號的密碼數據庫中的內容并非“MaryHadALittleLamb123$”這種形式，而是哈希值，這是一種由數字和字母構成的序列。這個序列是一個表示密碼的令牌。

實際上，存儲在我們的計算機里受保護的存儲器中的正是這種密碼哈希，而非密碼本身；目標系統遭到破壞時攻擊者獲得的數據，或數據泄露發生時被泄露的數據也是密碼哈希。一旦攻擊者獲得了這些密碼哈希，就可以使用John the Ripper或oclHashcat等各種各樣公開可用的工具來破解這些哈希并獲得真正的密碼，方法既有暴力破解（嘗試每一個可能的字母數字組合），也有嘗試一個詞列表（比如一個詞典）中的每個詞。John the Ripper或oclHashcat讓攻擊者可以基于多個規則集修改要嘗試的詞，比如名叫leetspeak的規則集是一個用數字替代字母的系統，如“k3v1n m17n1ck”。這個規則會將所有密碼變成各種leetspeak排列。使用這些方法破解密碼比簡單的暴力破解要高效得多。最簡單和最常見的密碼也是最容易被破解的，然后隨著時間推移，更復雜的密碼也會被破解。破解所需的時間長短取決于多種因素。如果同時使用密碼破解工具以及你泄露的用戶名和哈希密碼，攻擊者也許可以通過嘗試與你的電子郵箱地址或其他身份標識相連接的其他網站的密碼，來獲取你的一個或多個賬號的權限。

一般而言，你的密碼字符越多，John the Ripper等密碼猜測程序運行所有可能的變體所需的時間就越長。隨著計算機處理器的速度越來越快，計算所有可能的6位甚至8位字符密碼的時間也變得越來越短。這就是我建議使用25位或更多字符作為密碼的原因。

密碼、圖案、指紋，哪個才能保護好你的移動設備

創造出強密碼后，其中很多是你永遠不會告訴別人的。這似乎是顯而易見的事情，但在倫敦和其他主要城市進行的一些調查表明：人們會用密碼來換取筆或巧克力這些微不足道的東西。

我有一個朋友曾經把自己的奈飛（Netflix）密碼分享給了他的女朋友。那時候這么做是有理由的。讓女朋友選擇一部兩人一起觀看的電影會令她很高興。但在奈飛電影推薦部分還留著“因為你看過……”而推薦的電影，其中就包括他和前女友們看過的那些。比如他自己就不會訂閱電影《牛仔褲的夏天》（The Sisterhood of the Traveling Pants），而他的女朋友知道這一點。

當然，每個人都有前任。你可能會懷疑你是否在和一個沒有前任的人談戀愛。但每個女朋友都不愿意看到那些在她之前已經離開的人留下的證據。

如果你用密碼保護著你的網絡服務，那么你也應該用它來保護你的各種設備。大多數人都有筆記本電腦，而且許多人仍然擁有臺式機。現在你可能一個人在家，但一會兒晚餐時會不會來客人呢？為什么要冒險讓別人只需坐在你的桌子前動動鼠標，就可以訪問你的文件、照片和游戲呢？再補充一個關于奈飛的警示故事：在奈飛主要租賃DVD的時代，我知道有一對夫婦被惡搞了。在家里的一次聚會上，他們登錄了奈飛賬號的瀏覽器一直開著。后來，這對夫婦通過郵件收到了各種各樣粗制濫造的B級片和C級片，才發現這些電影已被添加到了他們的隊列中。

在辦公室里保護你的密碼甚至更加重要。想象一下你被臨時叫去開會的情況。可能會有人走到你的辦公桌前，來看看下一季度預算的表格，或者你收件箱里的所有電子郵件。除非你有一個設置了密碼保護的屏保，并且讓它在幾秒鐘沒有操作之后就自動開啟，否則還可能出現更加糟糕的情況——不管什么時候，你離開桌子一大段時間（外出午餐或長時間開會），某人都有可能坐在你的桌子前，冒充你寫了一封郵件發出去，甚至篡改了你下一季度的預算。

為了防止這種事發生，有一些具有創造性的新方法可用，比如使用藍牙的鎖屏軟件可以驗證你是否在電腦旁邊。換句話說，如果你去洗手間時，你的手機離開了藍牙的連接范圍，你的電腦就會立即鎖定。使用其他藍牙設備也能做到這一點，比如手環或智能手表。

創建密碼來保護網絡賬號和服務當然很好，但如果有人取得了你的物理設備，密碼也就無濟于事了，尤其是當你的網絡賬號處于開啟狀態時。所以如果你只能用密碼保護一套設備，那就應該保護你的移動設備，因為這些設備是最容易丟失或被盜竊的。然而，美國《消費者報告》（Consumer Reports）發現，34%的美國人根本沒使用任何安全措施來保護他們的移動設備，比如使用簡單的4位數字PIN碼⁽⁴⁾來鎖定屏幕。

2014年，加利福尼亞州馬丁內斯的一名警察承認自己從一個酒駕嫌疑人的手機里竊取了私密照片，這顯然違反了美國憲法《第四修正案》。³具體來說，《第四修正案》禁止在沒有法官簽發的許可和可靠證據支持的情況下進行不合理的搜查和扣押。比如，執法人員如果想要訪問你的手機，就必須先說明理由。

如果你還沒用密碼保護你的移動設備，現在就花點時間把它設置好。我是認真的。

不管是安卓、iOS還是其他什么系統，鎖定手機的常用方法有三種。最常見的是鎖屏密碼，這是一串可以按特定順序輸入而解鎖手機的數字。不要使用手機推薦的數字位數，應該在你的設置里面手動配置更強的密碼——可以是你想要的7位數字（就像童年時的電話號碼），必須使用4位以上的數字。

一些移動設備允許選擇基于文本的鎖屏密碼，再次強調：選擇至少7個字符。現代移動設備可以在同一屏幕上同時顯示數字和字母鍵，讓兩者之間的切換簡單了許多。

另一個鎖屏選項是圖案鎖。2008年以來，安卓手機配備了一個被稱為安卓鎖定圖案（ALP）的功能。屏幕上顯示9個點，你可以以任何想要的順序來連接它們；這個連接序列就是你的密碼。你或許認為這個功能非常巧妙，而且可能的組合方式非常多，可以讓你的序列無法被破解。但在2015年的PasswordsCon大會上，研究者報告稱，在一項調查中，參與者在鎖定圖案的140 704種可能的圖案組合中僅選擇了少數幾種可能的圖案——這就是人類的本性啊。而這些可預測的圖案又是怎樣的呢？往往是用戶名字的第一個字母。這項調查還發現，人們往往會使用中間的點，而不是邊角的4個點。下次你設置鎖定圖案的時候，一定要好好考慮一下。

最后，還有生物識別鎖。蘋果、三星等手機制造商現在允許消費者選擇使用指紋掃描器來解鎖手機。請注意，這并非萬無一失的。在Touch ID發布之后，研究者以為蘋果改進了已經上市銷售的大量指紋掃描器，結果他們非常驚訝地發現，一些攻破指紋掃描器的老方法對iPhone仍然有效，其中包括在干凈的表面上使用嬰兒爽身粉和透明膠帶來獲取指紋。

還有其他手機可以使用內置攝像頭來對主人進行人臉識別。然而，在攝像頭前面放一張主人的高分辨率照片，這種方法就會被破解。

一般而言，生物特征識別方法本身很容易受到攻擊。理想情況下，生物特征應該僅被用作一種認證因素。先滑動你的指尖或對著攝像頭微笑，然后輸入PIN碼或鎖屏密碼。這應該能保證你的移動設備的安全。

如何設置安全問題

如果你創建了一個強密碼但沒有把它寫下來，又該如何是好？當你完全無法訪問一個不常用的賬號時，密碼重置能幫上大忙。但對潛在的攻擊者而言，這也可能是容易攻破的薄弱點。使用我們留在互聯網上各種社交媒體個人資料中的線索，黑客可以簡單地通過重置密碼來獲取我們的電子郵箱以及其他服務的權限。

新聞里曾報道過這樣一次攻擊。這次攻擊涉及獲取目標信用卡號的最后4位數字，然后將其用作身份證明，并要求服務提供商修改授權的電子郵箱地址。通過這種方式，攻擊者可以在賬號的合法所有者不知情的情況下重置密碼。

2008年時，田納西大學的學生大衛·科納爾（David Kernell）決定試試看能否拿下副總統候選人薩拉·佩林（Sarah Palin）的個人雅虎電子郵箱賬號。⁴科納爾本來可以猜幾個密碼，但試錯幾次之后可能會讓該賬號鎖定登錄。于是他使用了密碼重置功能，后來他形容這個過程“很輕松”。⁵

我敢肯定，我們都收到過來自朋友和親戚的奇怪電子郵件，里面竟然包含外國色情網站的鏈接，之后我們才知道，原來朋友的電子郵箱賬號被人盜用了。這些電子郵箱被盜用的原因往往是保護該賬號的密碼不夠強。要么是某人已經知道了密碼（通過數據泄露），要么是攻擊者使用了密碼重置功能。

當我們開始建立一個電子郵箱或銀行賬戶等賬號時，可能要回答一些安全問題。這樣的問題通常有3個，還會有一個列出建議問題的下拉菜單，這樣你就可以選擇你想回答的問題。你的選擇通常很明顯。

你的出生地是哪里？你在哪里上的高中？在哪里上的大學？還有人們偏愛的“你母親的娘家姓”，顯然，至少從1882年以來⁽⁵⁾，它就一直被用作一個安全問題。⁶正如我將在下面討論的那樣，很多公司可以，而且確實在掃描互聯網并收集個人信息，使得回答這些基本安全問題易如反掌。一個人在互聯網上花幾分鐘時間，就很可能回答出一個給定個人的所有安全問題。

直到最近，這些安全問題才有了一定程度的改進。比如，“你的連襟出生于哪個州”就相當不同，但正確回答這些“好”問題本身就可能帶有風險，下面我會談到這一點。許多所謂的安全問題仍然太過簡單，比如“你父親的家鄉是哪里”。

一般而言，設置這些安全問題時，應該盡量避免下拉菜單中提供的最明顯的建議。即使該網站只包含基本的安全問題，也要有創意一點。沒人要求你只提供簡單干脆的答案。你可以耍點小聰明。比如，對你的流媒體視頻服務而言，也許你最喜歡的顏色是什錦水果繽紛色。誰能猜到這個答案？這是個顏色，對吧？不管你用作答案的內容是什么，它都是這個安全問題的“正確”答案。

每次當你提供了創意答案時，一定要把問題和答案都寫下來，放在安全的地方（或者就用一個密碼管理器來保存你的問題和答案）。之后你可能會有需要技術支持的時候，這時，一位客服代表會問你一個安全問題。準備一張便利貼或在你的錢包里放一張卡片（或記住并始終使用一組相同的問答）來幫助你記憶“你的出生地是哪里”的正確答案是“在一家醫院里”。之后，如果有人在網上搜索你的信息并嘗試“俄亥俄州哥倫布市”這種更合理的答案，那么這種簡單的概念混淆會讓他束手無策。

誠實地回答非常特定的安全問題還存在額外的隱私風險：除了網上已有的那么多個人信息外，你還在貢獻更多個人信息。比如說，“你的連襟出生于哪個州”的真實答案可能會被你提供答案的網站賣掉，然后這些信息可能會和其他信息結合起來，或用于填補缺失的信息。比如，根據這個關于連襟的答案，人們可以推斷出你結了婚或結過婚，并且你的配偶或前任有男性兄弟，或者有姐妹與一個男性結婚，而這個男性就出生在你答案里的那個州。從一個簡單的答案就能得到這么多額外信息。另一方面，如果你沒有連襟，那就創造性地回答這個問題吧，答案也許是“波多黎各”。這應該會迷惑任何想要創建你的個人資料的人。提供的不相關信息越多，你在網上的隱身效果就越好。

回答這些相對不常見的問題時，你始終要考慮這些網站對于你的價值有多大。比如說，你也許信任你的銀行，允許它們擁有這些額外的個人信息，卻并不信任你的流媒體視頻服務。另外，還要考慮這個網站的隱私政策是什么樣的：其中可能有說明或暗示網站會向第三方銷售其收集到的信息的內容，找到它們。

重置薩拉·佩林的雅虎電子郵箱賬號密碼需要她的出生日期、郵政編碼和安全問題“你在哪里認識了你的丈夫”的答案。佩林的出生日期和郵政編碼可以很容易地在網上找到（那時候佩林是阿拉斯加州的州長）。那個安全問題需要多花一點功夫，但科納爾還是能夠找到答案。佩林在很多采訪中都提到丈夫是她的高中同學。事實證明，這正是她的安全問題的正確答案：高中校名。

科納爾猜到了佩林的安全問題的答案，從而能夠重置她的雅虎郵箱密碼，進而控制這個郵箱。這讓他能看到她所有私人的電子郵件。她的收件箱的一張截圖被貼到了一個黑客網站上。除非佩林重置密碼，否則她將無法登錄自己的電子郵箱。

科納爾的所作所為違法了，違反了美國《計算機欺詐和濫用法》（Computer Fraud and Abuse Act）。具體來說，他被認定犯了兩項罪：通過銷毀記錄預先妨礙司法公正，這是一項重罪；未經授權訪問計算機，這是一項輕罪。他于2010年被判處一年零一天的監禁，外加三年的監外看管。

如果你的電子郵箱賬號像佩林的一樣被人接管了，你應該這么做：

?　首先，你需要使用密碼重置選項修改你的密碼（是的，你也猜得到該這么做）。新密碼要像我前面建議的那樣使用強密碼。

?　其次，檢查發件箱，看看有什么東西以你的名義發出去了。你可能會看到有一條垃圾信息被發送給了很多人，甚至是你所有的聯系人。現在你知道為什么這些年來你的朋友總在給你發送垃圾郵件了吧，因為有人劫持了他們的電子郵箱賬號。

另外，還要檢查是否有人將自己添加到了你的賬號中。之前我們談到過多個電子郵箱賬號的郵件轉發。那么，進入了你電子郵箱服務的攻擊者也可能將你的全部郵件都轉發到了他的郵箱。也許你仍然能正常查看你的郵件，但這個攻擊者也能看到。如果某人將他自己加入到你的賬號中，你要立即刪除這個轉發電子郵箱地址。

雙因素認證，截至目前最安全的解決方案

密碼和PIN碼是安全解決方案的一部分，但我們剛剛也看到了，這些可以被猜出來。比復雜密碼更好的方法是雙因素認證（two-factor authentication）。事實上，詹妮弗·勞倫斯等名人的私密照片出現在互聯網上之后，蘋果的應對措施就是為iCloud服務啟用了雙因素認證，即2FA。

什么是2FA？

當嘗試認證一位用戶的身份時，網站或應用要查證3個東西中的至少2個。通常這些東西是指你擁有的東西、你知道的東西和你是誰。“你擁有的東西”可以是磁條式或芯片式的信用卡、借記卡；“你知道的東西”往往是PIN碼或安全問題的答案；而“你是誰”包含了生物特征識別——指紋掃描、面部識別、聲音識別等。這些東西越多，越能夠確定你就是你自稱的那個用戶。

這聽起來像是新技術，其實并不是。40多年來，大多數人都一直在使用2FA，只是我們沒有意識到罷了。

每當你使用ATM時，你就在使用2FA。這怎么可能？你有一張銀行簽發的卡（你擁有的東西）和一個PIN碼（你知道的東西）。當你將它們放到一起時，街上的無人ATM就知道你想進入這張卡所認證的賬號。在一些國家，ATM認證還有其他方法，比如面部識別和掌紋識別。這被稱為多因素認證（multifactor authentication，簡稱MFA）。

在網上也能實現類似的認證方法。很多金融、醫療機構、商業電子郵箱和社交媒體賬號都允許用戶選擇2FA。在這種情況下，你知道的東西是你的密碼，你擁有的東西是你的手機。使用你的手機獲取這些網站的權限被認為是“帶外”⁽⁶⁾的，因為這部手機沒有連接到你正在使用的計算機。但如果你啟動了2FA，而攻擊者手里沒有你的移動設備，他就無法訪問你用2FA保護的賬號。

假如說你在使用Gmail。要啟用2FA，你會被要求在Gmail網站上輸入你的手機號碼。為了驗證你的身份，谷歌會給你的手機發送一條包含6位數字代碼的短信。然后，在Gmail網站上輸入這個代碼，你就確認了這臺計算機和那個手機號碼是關聯的。

之后，如果有人試圖用一臺新的計算機或其他設備修改你的賬號密碼，就會有一條短信發送到你的手機上。只有在該網站上輸入了正確的驗證碼之后，才能保存對你的賬號的任何更改。

但這也并非萬無一失。據賽門鐵克（Symantec，著名網絡安全技術公司）的研究者稱，就算你使用了短信來驗證身份，如果你不夠小心，某個恰好知曉你電話號碼的人也可以通過一些社會工程⁽⁷⁾盜取你的2FA保護的密碼重置代碼。

假設我想盜用你的電子郵箱賬號，卻不知道你的密碼。但我知道你的手機號碼，因為我可以通過谷歌輕松找到。在這種情況下，我可以進入你的電子郵箱密碼重置頁面，然后請求重置密碼，因為你啟動了2FA，你的手機就會收到一條短信驗證碼。到目前為止都還沒什么問題，對吧？別急。

政治活動家德雷·麥克森（DeRay Mckesson）使用的一部手機就遭到過攻擊，這一事件表明了壞人是如何欺騙你的移動運營商更換SIM卡的。換句話說，攻擊者可以劫持你的蜂窩通信服務，然后接收你的短信——比如這條來自谷歌的、用來重置麥克森的Gmail賬號的短信驗證碼，盡管他的賬號使用了2FA進行保護。比起讀出某人帶有新密碼的短信來愚弄他，這種情況發生的可能性要高得多。當然，讓別人讀短信也是可能的，這涉及社會工程。

因為我無法看到你的電子郵箱提供商發送到你手機上的驗證碼，所以我需要假裝是其他人，然后把驗證碼騙過來。比如，在你收到了谷歌發送的真短信的幾秒鐘后，作為攻擊者的我可以發送一條一次性短信，說：“谷歌檢測到您的賬號存在異常活動。請回復發送到您的移動設備上的代碼，以阻止未經授權的活動。”

你會看到這個，是的，你確實收到了一條來自谷歌的、包含合法驗證碼的短信，但如果你不夠謹慎，你可能就會把包含那個驗證碼的信息回復給我。我有不到60秒的時間來輸入這個驗證碼。現在，我已經有了密碼重置頁面上需要填寫的一切，然后就可以修改你的密碼，取得你的電子郵箱賬號或其他任何賬號的權限。

因為短信代碼未被加密，所以我可以通過剛才描述的方式來獲得它。你也可以使用一種更加安全的2FA方法，即從Google Play或iTunes應用商店（為了在iPhone上使用）下載谷歌身份驗證器（Google Authenticator）。這個應用可以在你每次訪問需要2FA的網站時生成一個獨特的授權碼——所以不會發送短信。生成的6位數字碼與網站用于授權訪問的認知機制是同步的。但是，谷歌身份驗證器會把你的一次性密碼種子存儲在Apple Keychain中，并且設置為“僅限該設備”。這意味著，當你為了升級或更換丟失的手機而將你的iPhone備份并還原到另一臺設備上時，你的谷歌身份驗證器代碼將無法用于新設備，而重新設置它們是很麻煩的。為了應對可能更換物理設備的情況，你應該記得打印一些緊急代碼。現在，有些應用允許你備份、還原你的一次性密碼種子，可以為你免除這樣的麻煩，你可以試試看。

一旦你注冊了一臺設備，就可以使用該設備繼續登錄該網站，多長時間都行，甚至將你的筆記本電腦或手機帶到另一個地方也無妨；除非你特別勾選了信任該計算機30天的選項（如果有的話），那樣你就會被提示輸入新的訪問代碼。然而，如果你使用另一臺設備——比如借用了你配偶的計算機，你就會被要求提供更多認證。無須多言，如果你使用了2FA，那就時刻把手機帶在身邊吧。

給每個人的建議

考慮到有這么多預防措施，你可能想知道，我會給那些在網上做各種金融交易的人提供些什么建議。

每年大約只需100美元，在你控制下的多達3臺計算機就會得到反病毒和防火墻保護。在網上沖浪時，你會遇到的麻煩可能是你的瀏覽器加載了一個帶有惡意軟件的橫幅廣告，或者你打開了一封帶有惡意軟件的電子郵件。只要你的計算機常常聯網，就有可能以這樣或那樣的方式受到感染，而你的反病毒產品可能無法應對網上存在的一切。

所以我推薦你花大概200美元，給自己買一臺Chromebook。我喜歡iPad，但它太貴了。Chromebook的易用性接近iPad，而且價格低得多。

我要表達的觀點是，你需要一臺專門用于金融方面的次要設備，甚至醫療方面也是如此。除非你首先用一個Gmail賬號注冊過，否則它不會安裝任何應用——這將限制你打開瀏覽器上網。

然后，如果你還沒有這么做，那就在網站上激活2FA，讓它識別你的Chromebook。一旦你做完了你在金融或醫療方面的事情，就將Chromebook放到一邊，在下次你必須核對收支簿或預約一位醫生時再重新拿起來使用。

這似乎很麻煩，實際上也確實如此。過去人們也可以方便地做銀行業務，但現在幾乎隨時都能做銀行業務。這樣的話，其實你不太可能遇到你的銀行信息和信用卡信息被人搞亂的情況了。如果你僅在Chromebook上使用你安裝的兩三個應用，也收藏了銀行或醫療網站，并且不會訪問其他網站，那么你的設備中基本不可能有木馬或其他一些形式的惡意軟件。

因此，我們已經明確了你需要創建強密碼并且不能將它們分享出去。你需要盡可能地啟用2FA。在后面幾章中，我將帶你了解常見的日常交互會如何到處留下數字印跡，以及你可以做些什么來保護自己的隱私。