Evernote 用戶密碼被證實已泄露,對於這類雲服務公司用戶在使用時該如何保證自己文件的安全?
Evernote 被黑,官方要求4000萬用戶更改密碼
中國斷章取義的媒體人太多了,貼出郵件原文,供題主參考。
----------
Evernote"s Operations Security team has discovered and blocked suspicious activity on the Evernote network that appears to have been a coordinated attempt to access secure areas of the Evernote Service.
As a precaution to protect your data, we have decided to implement a password reset. Please read below for details and instructions.
In our security investigation, we have found no evidence that any of the content you store in Evernote was accessed, changed or lost. We also have no evidence that any payment information for Evernote Premium or Evernote Business customers was accessed.
The investigation has shown, however, that the individual(s) responsible were able to gain access to Evernote user information, which includes usernames, email addresses associated with Evernote accounts and encrypted passwords. Even though this information was accessed, the passwords stored by Evernote are protected by one-way encryption. (In technical terms, they are hashed and salted.)
While our password encryption measures are robust, we are taking additional steps to ensure that your personal data remains secure. This means that, in an abundance of caution, we are requiring all users to reset their Evernote account passwords. Please create a new password by signing into your account on evernote.com.
After signing in, you will be prompted to enter your new password. Once you have reset your password on evernote.com, you will need to enter this new password in other Evernote apps that you use. We are also releasing updates to several of our apps to make the password change process easier, so please check for updates over the next several hours.
As recent events with other large services have demonstrated, this type of activity is becoming more common. We take our responsibility to keep your data safe very seriously, and we"re constantly enhancing the security of our service infrastructure to protect Evernote and your content.
There are also several important steps that you can take to ensure that your data on any site, including Evernote, is secure:- Avoid using simple passwords based on dictionary words
- Never use the same password on multiple sites or services
- Never click on "reset password" requests in emails — instead go directly to the service
Thank you for taking the time to read this. We apologize for the annoyance of having to change your password, but, ultimately, we believe this simple step will result in a more secure Evernote experience. If you have any questions, please do not hesitate to contact Evernote Support.
-----【中文譯文】-----
Evernote運營和安全團隊最近發現並成功阻止了一項針對Evernote網路的可疑活動,該活動可能試圖有組織的接入Evernote服務的安全區域。
為預防未來的潛在數據隱患,我們決定請求所有用戶進行一次密碼重置。請閱讀以下內容了解詳情和步驟。
通過一次全面仔細的檢查,我們未發現任何跡象表明你保存在Evernote中的任何內容被訪問過、修改過或丟失。Evernote高級帳戶的付款信息和Evernote企業帳戶也沒有任何被訪問過的跡象。
但是檢查顯示,參與這次可疑活動的人員能夠訪問到Evernote的用戶信息,包括與Evernote帳戶關聯的用戶名、郵箱地址和加密過後的密碼密文。儘管密碼密文有可能被訪問,但請特別注意,保存在Evernote中的所有帳戶密碼密文均採用不可逆的單向加密演算法(one-way encryption)生成。(用專業術語表示,即所有密碼密文都是經過哈希演算法處理並隨機生成(hashed and salted))
儘管我們強大的加密方法非常安全,但為一直確保你的數據安全,我們總是希望多做一步預防措施 。所以慎重起見,我們現在請求所有用戶重新設置帳戶密碼。請在evernote.com上登錄你的帳戶,並創建新密碼。
登錄後,你會收到提示,要求輸入新密碼。在evernote.com上重新設置密碼後,需要你在所使用的其他平台Evernote應用中輸入同樣的新密碼。
最近,其他大型服務商發生的類似事件表明,此類網路活動越來越普遍。Evernote一直以高度保護你的數據安全為己任,並不斷地加強伺服器架構設計和提高安全等級,確保Evernote和你的內容的安全性。
你還可以採取以下幾個重要措施,確保自己在包括Evernote在內的任何網站上的數據安全:- 避免使用過於簡單的密碼,比如字典中的現成辭彙
- 務必不要在多個網站和服務上使用同一個密碼
- 務必不要在郵件中點擊「重設密碼」,如果要修改密碼,請直接登錄該服務的網站
非常感謝你的時間。對於請求你修改帳戶密碼及由此帶來的不便,我們深表歉意。但最後我們想說,我們相信只需採取簡單的一步,就能夠為你帶來更加安全的Evernote體驗。如有任何問題,請立即前往隨時聯繫我們的用戶支持團隊。
----------
劃線部分即樓主鏈接的網站引用的部分,不僅主語沒搞清楚,居然還漏譯,上下文都沒看!這媒體責任感都哪兒去了?
這裡指出的是黑客獲取的是「加密過後」的密碼文,而且這裡採用的是不可逆的單向加密法。具體所謂的「哈希演算法」我不懂,但我想 Evernote 既然選擇發布這則消息是不會貽笑大方的。所以黑客既沒有查看過你的筆記,也無法知道你的密碼。
儘管這樣,這仍需要我們的警惕。雲不可能是完全安全的,當你選擇把你的筆記託管在第二方伺服器上,本身就意味著信任和風險並存。所以對於用戶,你可以繼續信任,修改一個安全度更高的密碼,並且任何時候,怕丟的數據都不應該只有一份(狼大人);你也完全有權卷鋪走人,信息的所有權在你。
Evernote 今天還發布了 iOS 版 5.2.2 的升級,以提醒用戶修改密碼。我覺得這是對用戶盡職盡責的表現。感謝@鮑星臣 提供的原文,從原文看,印象筆記確實受影響且被攻破了。他所謂的「儘管我們強大的加密方法非常安全」就是管理用戶情緒,做得很好,值得各廠家學習,但是別信。
強制修改密碼,也很好,按照他說的,改,這是負責的解決方案。但是想拍胸脯筆記和密碼一定沒被拿到,那是自欺欺人。md5值和salt都能在內存中刷出來,有了salt,強度中低的密碼被撞庫也就是喝杯咖啡的事情——不過這也比明文好多了。如果你的賬號不通用,那麼黑客「破解」你的意願更低。
再來回答題主問題。雲舒評價某新應用時說:等他火起來了一定被脫褲,我的信任感比較低,所以我不用。我的想法雷同,所以我想要用,就要承擔泄露風險,如果不想承擔風險,就別把核心的、值錢的信息往上放。事情出了,坦白說,用戶是魚肉,沒辦法。用戶協議也幫不了我們。這幾天不少朋友私信我,問我到底個人雲是否安全。針對爆庫這種攻擊方式我隨便聊兩句,謹為拋磚之作。
互聯網服務(包括個人雲服務)大多有用戶系統,有用戶系統就有存放用戶名、聯繫方式、密碼、等信息地方,這個地方就叫做用戶資料庫。黑客常利用操作系統、防火牆、資料庫的漏洞對用戶資料庫發起攻擊,以獲得對用戶資料庫的訪問權,俗稱爆庫。有的時候黑客甚至通過盜取物理硬碟來盜取用戶資料庫。只有通過對系統軟體的持續維護和升級和嚴格保障機房的物理安全才能有效地防止用戶資料庫攻擊。
使用成熟的大公司賬號系統能夠大幅度提高用戶系統的安全。
Google ID 以及國內的網易通行證、QQ賬號等都是成熟運營10年以上的賬號系統。因為有相應團隊的持續維護和升級,很少有成熟的賬號系統被大規模破解的報導。個人雲服務可以讓用戶使用大公司賬號系統來登錄自己的服務,而不是單獨地創建用戶名和密碼,從而降低個人雲服務自建用戶賬號系統帶來的風險。
採用這種設計的個人雲服務的用戶資料庫裡面不保存用戶的密碼,而是賬號系統生成的令牌(Token)。針對爆庫攻擊,這樣的設計有諸多好處。- 由於黑客無法從令牌(Token)推斷出用戶的密碼,從而保證用戶密碼不會被泄露。
- 令牌是可以通過失效來回收。萬一真的被爆庫了,個人雲服務的運維人員可以強制讓用戶的令牌失效,以保證用戶數據的安全。而作為用戶,不需要修改密碼,只需要重新登錄就能生成新的安全的令牌。從而將對用戶的影響降到最低。
- 個人雲服務可以對賬號系統生成的令牌進行2次加密,以保證自己的用戶令牌與其他使用同一個賬號系統的互聯網服務的用戶令牌無關。也就是說,基於同一個賬號系統的互聯網服務的用戶庫泄露了,個人雲服務也不受影響。就我所知,一些大公司賬號系統本身已經開始提供類似的隔離機制。
自建賬號系統對密碼要嚴格加密,用戶資料庫層數據要與驗證層隔離。
- 如果個人雲服務因某些考慮,決定要自建賬號系統,那麼對用戶資料庫里的密碼進行高強度的加密是必須的。在用戶資料庫中明文保存用戶密碼固然不可取,簡單地保存單向加密演算法加密過的密碼也不再安全。由於互聯網上已存在很龐大的md5碰撞庫,在被爆庫之後常規的單向加密過的密碼仍然有很大幾率被破解還原。因此,當前大多數成熟的賬號系統都對用戶密碼進行加隨機salt二次md5這樣高強度的加密。通過這樣高強度的加密,可以保證在爆庫後用戶密碼不被黑客獲悉。
- 通過將用戶資料庫層的數據與驗證層隔離。一種常見的實現隔離的方式是對驗證層的驗證碼(加密過的密碼)進行再次單向加密後保存到用戶資料庫中。採用這樣設計的賬號系統可以防止黑客用用戶資料庫內的數據來假扮用戶登錄個人雲服務,從而確保個人雲服務內的數據的安全。
信任。
沒人說經常備份?
回歸紙和筆。
一個網站泄漏密碼並不可怕,可怕的是常常有人為了記憶方便,在不同的網站使用相同的密碼。
我推薦給大家一個工具:花密 -- 不一樣的密碼管理工具
簡單地說這個軟體能根據一個用戶設置的基礎密碼,和一個便於記憶的網站名稱,生成一個類似於 MD5 的隨機字元串,這樣你就可以為每一個網站設置一個隨機生成的強密碼,不需要每個都記憶。
比如你需要給淘寶帳號設置一個密碼,可以這樣設:H(12456, taobao) = KfdDf77F7D64e5c0
其中 H() 就是花密的演算法。
這個軟體支持 win、mac、android 以及web,可以隨時隨地計算,而且它是純基於演算法的,不需要在伺服器或者你的硬碟里存儲任何記錄,避免了泄密的可能。攻擊者是誰,我想大家都懂。
推薦閱讀:
※做網路安全怎麼避免犯法?
※信用卡該不該設置密碼?
※kbasesrv.exe進程無法關閉,也刪除不了?
※從一個手機號碼中能挖出多少個人信息?
※"食鼠貓"是個什麼樣的病毒?電腦上現在還有病毒嗎?