從昨天到現在,各位讀者應該沒少看到網絡上關於 iCloud 和若干好萊塢女明星之間的討論。雖然諸多報導都把 iCloud 扯進了這一波私人照片洩漏事件中,但這起事件是否真的是 iCloud 被攻擊所致,到現在其實還沒有一個確切的結論,蘋果官方也只是表示仍在調查中

不管最終的調查結果如何,這樣的事件毫無疑問會對 iCloud 的形象帶來一定的影響。其實,在今年 2 月份時,蘋果曾經在一份 iOS 安全白皮書中詳述了 iCloud 的安全機制。根據蘋果的描述,iCloud 在互聯網上傳輸的數據以及在服務器中保存的數據都是經過加密的,而且還會使用安全令牌進行鑑定。

iCloud 至少 128 位 AES 加密算法讓其安全級別堪比大型的金融機構。

在 iCloud 中,用戶存儲的每個文件都被分割成若干塊,並且使用 AES-128 加密算法進行加密;與此同時,源自每一個「塊」中的密鑰又使用 SHA-256 加密算法這些密鑰和文件的元數據存儲在蘋果的服務器上,而加密的文件塊則踢出了用戶的個人身份特徵存儲在像 Amazon S3 或者 Windows Azure 這樣的第三方雲服務上。

雖然蘋果使用了很高的標準和機制來保證 iCloud 的安全性,但就像雲存儲產品難以保證絕對的安全一樣,iCloud 一樣會出現漏洞。TNW 今天就披露了一款在託管在 GitHub 上的 iCloud 賬戶暴力破解工具。

根據 TNW 的表述,這款工具利用了「查找我的 iPhone」服務中存在的漏洞,暴力破解工具可以使用一個惡意文件對用戶的 iCloud 賬戶密碼進行窮舉破解,直到發現正確的那一個,而在這個過程中用戶卻得不到應該有的安全提醒。

不過 TNW 隨後的測試表明蘋果在今天已經堵住了這個漏洞,現在再使用這個工具去破解某個賬戶,5 次密碼輸入錯誤以後賬戶就會被鎖死。TNW 隨後聯繫了這個工具的製作人,不過他表示現在還沒有證據表明這次照片洩漏事件和這款工具相關,雖然理論上可能會有人使用了這個漏洞。

  • 駭客使用的破解方式和用戶密碼的安全程度有很大的關係

其實從上面的例子中我們可以看出,駭客使用的破解方式和用戶密碼的安全程度有很大的關係。現在,人們經常使用的互聯網服務少則十幾種,多的甚至會有幾十上百種。使用密碼管理工具的人畢竟只是少數,這也就意味著多數用戶都會在很多服務中使用同一個密碼。

這樣以來,如果某一項服務的賬戶、密碼被攻破了,那麼你存在其他互聯網服務中的信息也就近似於暴露了。所以我們可以看到,密碼的安全性並不僅在於長短,各個服務的差異性也是相當重要的。對於用戶來說,對你最重要的網絡服務理應設置一個獨一無二的密碼。在上面的例子中,如果你為 iCloud 設置的是單獨的高強度密碼,那麼也就難以被其他服務洩漏出去,被匹配、窮舉出來的概率自然就要低很多。

賬戶兩步驗證機制

除了 ​​使用更加多樣化的密碼體系外,必要時你還可以開啟賬戶兩步驗證機制。現在,無論是蘋果還是 Google,它們的賬戶都已經支持兩部驗證機制。而且在今年,蘋果 ID 的兩步驗證機制也已經增加了對中國用戶的支持用戶啟用這項服務後,除了輸入 ID、密碼之外,還必須提供蘋果發送的 4 位驗證碼才能更改賬戶、使用新設備在 iTunes Store 或 Apple Store 購買產品。

對於用戶來說,上面這些方式都是固定的,你在接受這些概念後很容易避免下次繼續犯錯。在避免安全陷阱中最難學的並不是這些「固定」的方式,而是靈活多樣的「 社會工程學 」。

愛下載「奇怪」檔案,特別容易中招

比如,你在下載完這些明星的照片後,看到桌面上的文件夾 Logo 八成會迫不及待的打開它,但事實上後,你下載到很可能是一個後綴為.exe 的可執行文件,只是這個文件的圖標被替換成了 Windows 上常規的文件夾 Logo,這樣以來你迫不及待的點擊操作明顯就是把自己送進駭客的圈套。

像上面這樣的社會工程學案例不勝枚舉,它們難的地方就在於其並沒有一個固定的可以避免的教程,只有你在使用網路服務時多留心、多思考,也許才可以避免。

無論是蘋果的 iCloud,還是 Google、亞馬遜等的雲服務,我們有理由相信這些公司已經使用了業界領先的安全標準和機制,但事實上,雲服務是否安全,除了這項服務本身的特性之外,也和用戶的使用方式息息相關。所以你應該為重要的網絡服務設置單一的高強度密碼,並且開啟兩步驗證機制,而如何避免社會工程學方面的信息洩漏就只能慢慢學習了。

(轉載自合作媒體《PingWest》; 圖片來源:EyesOnFire89, CC Licensed)