根据最近的热门消息,一些好莱坞美女明星的裸照上周天晚上在网络上被疯狂转载。尽管此次事件中许多照片的真实性尚未确认,但是一些名流已经确认他们就是此次事件的受害者。
通过黑进名流的手机或者是在线账户以偷取其中的裸照或是其他私人照片的事不是第一次发生了(还记得Paris Hilton的SideKick被黑事件吗?),但是有谣传说这些泄漏的照片意味着iCloud和它的照片流功能存在缺陷,黑客可以利用缺陷来进行更大方范围的攻击,这样的言论让iCloud的使用者们惴惴不安。
很明显,现在还不能确定这起事件的发生和iCloud有没有关系。我们已经和苹果公司取得了联系,一旦我们得到任何有价值的消息,将会第一时间发布出来。同样值得注意的是,即使iCloud已经被攻破,也并不一定意味着更大的、系统级别的破坏。
虽然不知道有多少人在使用iCloud,我们仍然想知道iCloud和其他的云系统,像Dropbox, Google Drive和OneDrive究竟有多安全。
iCloud安全性回顾
在其网站上,苹果列出了为了保护iCloud上的数据,他们所采取的所有的安全措施。
不管是服务器上的数据,还是在传输(从你的设备到苹果的服务器)过程中的数据,iCloud都进行了加密。对于照片,最低的加密级别是128位的AES加密。
在苹果的官方app中,苹果使用安全令牌来验证账号。这就意味着你的用户名和密码没有存储在app本身中。对于第三方的app,如果这些app需要访问iCloud,苹果通过SSL发送用户名和密码。
这意味着只要你的密码时唯一的、安全的,心怀叵测的人就很难在你的数据从手机、电脑发送到苹果的服务器时实行拦截。
密码强度
真正的问题不在于iCloud的安全性有多好,而在于用户的密码强度有多高。
苹果要求用户创建密码时,必须至少包含8个字符,其中要有数字,大写字母,小写字母。在过去,如果你的密码不满足上述条件,苹果不会强制要求你创建一个新的密码,当然进行二元认证的情况列外。
此外,大部分用户遇到的真正的问题不是他们的密码强度不够,而是密码不是唯一的。
要记住为不同的账户创建的上百个不同的密码,这是一件几乎不可能办到的事。所以,用户开始一次又一次的使用相同的密码。
不得不说,这种行为隐藏着大危险。如果你经常访问的一个站点被黑了,而你在这个站点使用的用户名和密码也用在了其他的站点中,那么,所有使用这组用户名和密码的账户都岌岌可危了。
这意味着即使你的密码强度非常高,如果你在多个地方使用它,再强的密码也没用。黑客可以访问到存储破解用户名和密码的大型数据库。
这就是为什么一旦用户在超过一个地方使用了相同的密码,我们就会敦促其尽快修改密码的原因。如果某个账号很重要,或者与其他的账号相关联的时候,及时修改密码就显得更加重要。#p#
二元认证
尽管密码的使用存在很大的问题,我们还是可以通过二元认证的方式来减小风险。二元认证意味着在你访问账户之前,在登陆的时候不仅仅需要提供密码,还要提供一个唯一的设备码,设备码通常通过短信发送,或者通过认证密钥产生。
对于iTunes和iCloud账户,苹果支持二元认证。开启二元认证之后,一台新的计算机或者设备在访问你的iCloud数据前,你要保证这台设备有一个四位数字的验证码(通过短信发送到你的手机上),或者从另一台可信任设备上取得授权。与此同时,你所有的设备上都会出现一个弹窗,提示你另外一台计算机正在获取你的iCloud账户或者Apple ID数据的访问权。
正如Michael Rose在TUAW指出的,苹果的二元认证的主要目的似乎在于保护用户的钱包而不是数据。只有得到苹果的支持,登陆My Apple ID管理控制台或购物的时候才会触发二元认证机制。
尽管苹果提供二元认证是件好事,我们也应该注意到其二元认证的建立过程相比于Google或者Dropbox的二元认证建立过程更加复杂。苹果的系统不支持第三方的认证器,比如说Yubikey和Google的认证器。
考虑到二元认证的建立过程比较复杂,我们怀疑绝大部分的用户没有为他们的账户开启这个功能。这意味着对大部分的账户而言,只要取得密码,就可以访问到其iCloud账户的各类数据。
社会工程学:真正的威胁
苹果的内置安全系统相当强健。二元认证的选项进一步提高了其安全性。
实际上,绝大多数的安全攻击根本不需要利用系统的安全漏洞,在一次攻击中,人才是关键,并且相对于系统漏洞,人更加难以防范。
在2012年,Wired的记者Mat Honan成为一次extensive hack的受害者,这次攻击让他的数字生活陷入一片混乱。
黑客并不是通过破解Honan的密码来取得他账户的访问权。相反,黑客在科技和社会工程学的支持下,通过使用公共信息最终拿到了他的Gmail和iCloud账户访问权限。
两年后,一些公司,像苹果和亚马逊,修改了他们的支持政策。但是除非开启了二元认证,通过社会工程学的方法,加上一些正确的技术支持,本来没有访问权的用户也可以拿到账号的访问权。
从本地设备访问内容
如果你使用iCloud或者iPhone同步你的计算机,发送到iCloud的文件存储在苹果的服务器上,这些内容会被加密并且是很安全的。至于你本地设备上的那些源文件,则是另外一回事了。
举个例子,如果你的iPhone或者iPad没有设置密码(并且每次通过USB连接一台新机器的时候不需要确认),别人就可以将你的设备接入计算机,然后通过iTunes或者其他第三方的程序将你设备上的所有文件全被拷贝。这些被拷贝的文件可能有一些是加密的,但是照片、视频这种类型的文件是不会加密的。
iOS 7或者更高的版本中,一台没有解锁的手机连接到计算机上,即使整个文件系统都被拷贝,这部分被拷贝的内容还是处于加密状态,除非你有手机的密码,否则不能解密这部分内容。
与此类似,尽管苹果在OS X中内置了很好的加密功能,但是这个功能默认是关闭的。那意味着如果别人可以接触到你的笔记本或者台式机,并且能够进入你的用户账户(假设你设置了一个密码),那个人照样可以访问你的文件。
这样的泄露方式和iCloud本身一点关系都没有,相比于存储在云上的数据,你的本地数据更加容易被拦截。
我们可以相信iCloud吗?
在不能确定iCloud和此次事件是否有关系时,我们没有理由认为iCloud是不安全的。
与其在这里讨论iCloud的安全性,用户不如问自己这样一个问题——无论他们使用的是iCloud,Google,OneDrive还是Dropbox,他们是否相信自己。
这意味着:
使用安全,唯一的密码
能够使用二元认证的情况下一定使用二元认证
开启锁和密码
升级操作系统的最新版本
仅仅是这些步骤不能保证你的数据万无一失,但是,它能在很大程度上减小你被黑客攻击的可能性。
