iCloud還能更“安全”點嗎?
責編:admin |2014-09-09 16:14:32根據最近的熱門消息,一些好萊塢美女明星的裸照上周天晚上在網絡上被瘋狂轉載。盡管此次事件中許多照片的真實性尚未確認,但是一些名流已經確認他們就是此次事件的受害者。
通過黑進名流的手機或者是在線賬戶以偷取其中的裸照或是其他私人照片的事不是第一次發生了(還記得Paris Hilton的SideKick被黑事件嗎?),但是有謠傳說這些泄漏的照片意味著iCloud和它的照片流功能存在缺陷,黑客可以利用缺陷來進行更大方范圍的攻擊,這樣的言論讓iCloud的使用者們惴惴不安。
很明顯,現在還不能確定這起事件的發生和iCloud有沒有關系。我們已經和蘋果公司取得了聯系,一旦我們得到任何有價值的消息,將會第一時間發布出來。同樣值得注意的是,即使iCloud已經被攻破,也并不一定意味著更大的、系統級別的破壞。
雖然不知道有多少人在使用iCloud,我們仍然想知道iCloud和其他的云系統,像Dropbox, Google Drive和OneDrive究竟有多安全。
iCloud安全性回顧
在其網站上,蘋果列出了為了保護iCloud上的數據,他們所采取的所有的安全措施。
不管是服務器上的數據,還是在傳輸(從你的設備到蘋果的服務器)過程中的數據,iCloud都進行了加密。對于照片,最低的加密級別是128位的AES加密。
在蘋果的官方app中,蘋果使用安全令牌來驗證賬號。這就意味著你的用戶名和密碼沒有存儲在app本身中。對于第三方的app,如果這些app需要訪問iCloud,蘋果通過SSL發送用戶名和密碼。
這意味著只要你的密碼時唯一的、安全的,心懷叵測的人就很難在你的數據從手機、電腦發送到蘋果的服務器時實行攔截。
密碼強度
真正的問題不在于iCloud的安全性有多好,而在于用戶的密碼強度有多高。
蘋果要求用戶創建密碼時,必須至少包含8個字符,其中要有數字,大寫字母,小寫字母。在過去,如果你的密碼不滿足上述條件,蘋果不會強制要求你創建一個新的密碼,當然進行二元認證的情況列外。
此外,大部分用戶遇到的真正的問題不是他們的密碼強度不夠,而是密碼不是唯一的。
要記住為不同的賬戶創建的上百個不同的密碼,這是一件幾乎不可能辦到的事。所以,用戶開始一次又一次的使用相同的密碼。
不得不說,這種行為隱藏著大危險。如果你經常訪問的一個站點被黑了,而你在這個站點使用的用戶名和密碼也用在了其他的站點中,那么,所有使用這組用戶名和密碼的賬戶都岌岌可危了。
這意味著即使你的密碼強度非常高,如果你在多個地方使用它,再強的密碼也沒用。黑客可以訪問到存儲破解用戶名和密碼的大型數據庫。
這就是為什么一旦用戶在超過一個地方使用了相同的密碼,我們就會敦促其盡快修改密碼的原因。如果某個賬號很重要,或者與其他的賬號相關聯的時候,及時修改密碼就顯得更加重要。
二元認證
盡管密碼的使用存在很大的問題,我們還是可以通過二元認證的方式來減小風險。二元認證意味著在你訪問賬戶之前,在登陸的時候不僅僅需要提供密碼,還要提供一個唯一的設備碼,設備碼通常通過短信發送,或者通過認證密鑰產生。
對于iTunes和iCloud賬戶,蘋果支持二元認證。開啟二元認證之后,一臺新的計算機或者設備在訪問你的iCloud數據前,你要保證這臺設備有一個四位數字的驗證碼(通過短信發送到你的手機上),或者從另一臺可信任設備上取得授權。與此同時,你所有的設備上都會出現一個彈窗,提示你另外一臺計算機正在獲取你的iCloud賬戶或者Apple ID數據的訪問權。
正如Michael Rose在TUAW指出的,蘋果的二元認證的主要目的似乎在于保護用戶的錢包而不是數據。只有得到蘋果的支持,登陸My Apple ID管理控制臺或購物的時候才會觸發二元認證機制。
盡管蘋果提供二元認證是件好事,我們也應該注意到其二元認證的建立過程相比于Google或者Dropbox的二元認證建立過程更加復雜。蘋果的系統不支持第三方的認證器,比如說Yubikey和Google的認證器。
考慮到二元認證的建立過程比較復雜,我們懷疑絕大部分的用戶沒有為他們的賬戶開啟這個功能。這意味著對大部分的賬戶而言,只要取得密碼,就可以訪問到其iCloud賬戶的各類數據。
社會工程學:真正的威脅
蘋果的內置安全系統相當強健。二元認證的選項進一步提高了其安全性。
實際上,絕大多數的安全攻擊根本不需要利用系統的安全漏洞,在一次攻擊中,人才是關鍵,并且相對于系統漏洞,人更加難以防范。
在2012年,Wired的記者Mat Honan成為一次extensive hack的受害者,這次攻擊讓他的數字生活陷入一片混亂。
黑客并不是通過破解Honan的密碼來取得他賬戶的訪問權。相反,黑客在科技和社會工程學的支持下,通過使用公共信息最終拿到了他的Gmail和iCloud賬戶訪問權限。
兩年后,一些公司,像蘋果和亞馬遜,修改了他們的支持政策。但是除非開啟了二元認證,通過社會工程學的方法,加上一些正確的技術支持,本來沒有訪問權的用戶也可以拿到賬號的訪問權。
從本地設備訪問內容
如果你使用iCloud或者iPhone同步你的計算機,發送到iCloud的文件存儲在蘋果的服務器上,這些內容會被加密并且是很安全的。至于你本地設備上的那些源文件,則是另外一回事了。
舉個例子,如果你的iPhone或者iPad沒有設置密碼(并且每次通過USB連接一臺新機器的時候不需要確認),別人就可以將你的設備接入計算機,然后通過iTunes或者其他第三方的程序將你設備上的所有文件全被拷貝。這些被拷貝的文件可能有一些是加密的,但是照片、視頻這種類型的文件是不會加密的。
iOS 7或者更高的版本中,一臺沒有解鎖的手機連接到計算機上,即使整個文件系統都被拷貝,這部分被拷貝的內容還是處于加密狀態,除非你有手機的密碼,否則不能解密這部分內容。
與此類似,盡管蘋果在OS X中內置了很好的加密功能,但是這個功能默認是關閉的。那意味著如果別人可以接觸到你的筆記本或者臺式機,并且能夠進入你的用戶賬戶(假設你設置了一個密碼),那個人照樣可以訪問你的文件。
這樣的泄露方式和iCloud本身一點關系都沒有,相比于存儲在云上的數據,你的本地數據更加容易被攔截。
我們可以相信iCloud嗎?
在不能確定iCloud和此次事件是否有關系時,我們沒有理由認為iCloud是不安全的。
與其在這里討論iCloud的安全性,用戶不如問自己這樣一個問題——無論他們使用的是iCloud,Google,OneDrive還是Dropbox,他們是否相信自己。
這意味著:
使用安全,唯一的密碼
能夠使用二元認證的情況下一定使用二元認證
開啟鎖和密碼
升級操作系統的最新版本
僅僅是這些步驟不能保證你的數據萬無一失,但是,它能在很大程度上減小你被黑客攻擊的可能性。