本月早些时候,安全专家特洛伊·亨特向他的Have I Been Pwned和Pwned Passwords数据库添加了惊人的20亿个唯一电子邮件地址和13亿个唯一密码。这些数据由Synthient汇总,来源于多个由威胁行为者共享的凭证填充源,以及通过信息窃取恶意软件直接从个人那里窃取的数据。

受影响的人数如此庞大,以至于通知发布分批进行,发送给Have I Been Pwned的订阅者。

这些数据还有一些特别之处引起了我的注意。

在这些细节和我收到的关于下一步该做什么的问题之间,我对‘正确’的在线安全措施的建议有所调整。

以下是我现在的建议。

每个账户使用不同的电子邮件地址

每个账户使用不同的电子邮件地址

使用相同的电子邮件地址登录每个账户会让黑客更容易入侵。他们可以将这些信息与他们认为(或知道)您使用过的任何密码一起输入到网站中。

这种凭证填充攻击往往有效,因为人们会重复使用密码。因此,避免这种情况的简单方法是为每个账户使用不同的电子邮件地址。

在过去,每次需要新的电子邮件地址时,你都必须创建一个实际的单独账户。现在不再需要了。

现在,你可以使用电子邮件别名(也叫‘电子邮件掩码’或‘掩码邮箱’)来实现同样的目的。在别人看来,你在不同的账户上似乎有不同的电子邮件地址。同时,你可以选择把所有消息集中在一个地方接收。电子邮件别名会将你的邮件转发到你希望的地方。

电子邮件别名的最基本形式是可以在你的邮箱地址后面添加额外的文本(例如,samplemail+extratext@domain.com)。格式是加号(+)后面跟着你想添加的任意字母和数字组合。Gmail 和 Proton Mail 是支持这种电子邮件别名样式的两个电子邮件服务。

为了保护隐私,你可以使用专用的电子邮件掩码来完全隐藏你的真实邮箱地址。例如,你在 samplemail@domain.com 收到邮件,但你希望保密这个地址。所以,你可以使用你的邮箱服务提供的内置掩码功能(如果有的话),或者注册一个独立服务来生成随机的电子邮件别名,比如 sample.word0000@domain.com 或 19xij3900x9@domain2.com。

Proton Mail、Fastmail 和苹果的 iCloud Mail 都是包含邮件掩码的邮件服务的例子。(Proton Mail 和 iCloud Mail 称它们为“隐藏我的电子邮件”别名。)如果您在其他地方已经有一个电子邮件地址并希望继续使用,您还可以注册 Mozilla Relay、SimpleLogin 或其他电子邮件掩码服务。

基本的别名依赖于 +extratext 风格的附加,这样至少可以让每次登录更难被猜到。(在您的电子邮件地址中添加不明显或无法根据网站信息猜测的文本。例如,如果您在 Target.com 上,就应该避免使用 +target。)

不过,现在同时拥有安全和隐私更为重要——这样别人就更难建立您的个人资料,从而制作个性化和更有效的网络钓鱼邮件和短信。因此,真正匿名的电子邮件别名服务是更好的选择。

更新您的旧密码

更新您的旧密码

在 Troy Hunt 关于导入密码数据的文章中,回应他询问的几个人估计他们被泄露的密码的年龄在 10 到 20 年之间。

这些古老凭证的一些特征包括:首先,它们并不长——大约只有八个字符。而且它们包含的变体几乎不算数。

在过去十年里,关于什么是一个好的密码的看法发生了很大变化,尤其是在过去二十年里。如果你有一些从未更新的旧密码,现在该重新审视它们了。由于计算能力的提升,短密码现在很容易被破解。而我们在2005年认为是随机且强大的密码(例如,p@$$word!),现在根本不算强密码。

此外,最近网站泄露事件频繁发生,即使你有一个相对随机的密码,包含一个小写字母、大写字母、数字和特殊字符,但它仍然可能被破解,因为你只用了它的弱变体。(更糟糕的是,可能还会完全重复使用这个密码。)

即使你不再使用旧账户,也不要让它们用一个糟糕的密码来保护。你可能还有其他信息,比如地址、电话号码等,这些信息可能被盗用并用于针对性钓鱼攻击。

清理或删除旧账户

清理或删除旧账户

说到可被盗用的个人信息,如果你有不常用的账户,请清除不必要的详细信息。即使你的密码从未被盗,数据仍然可能泄露,尤其是当网站所有者成为黑客的受害者时。

信用卡信息是我在购物账户上首先删除的信息。(如果你想要自动填充的便利,最好将其保存在密码管理器中。)但你也可以删除你的家庭地址、电话号码和其他细节,以使黑客更难了解你的习惯,并猜测出最有效的方式来骗取你的钱(或有价值的信息,这些信息会引导他们找到你的钱)。

不打算再使用这个账户了吗?或者使用得如此不频繁,以至于作为访客支付商品也无所谓?那就直接把整个账户删了吧。

切换到密码钥匙

切换到密码钥匙

我最近对此大力宣传,理由很充分。黑客当然可以找到你的电子邮件地址和旧密码。但如果你将主要登录方式切换为密码钥匙,对他们就没什么用。

密码钥匙的运作方式与密码不同。它们不能被直接窃取或被未经授权的设备远程使用。(如果你将密码钥匙存储在基于云的服务中,黑客可能会入侵该账户,但那是另一回事。)它们还与创建它们的网站绑定在一起。

所以,凭证填充攻击在用密码钥匙保护的账户上是没用的。如果你不小心点击了钓鱼链接,在假网站上也不会有效。

有些网站不允许仅使用密码钥匙进行登录,因此对于这些网站,将您的密码更新为长、独特且随机的密码,然后将其保存在密码管理器中,作为登录的备用方式。(也请启用双重身份验证。)

但在其他情况下,密码钥匙是更好的选择。一旦设置好,您就不必再去想它们。它们会自动运行。