作為一名教授、軟體開發人員和作者,我一直從事軟體安全工作。我決定進行一項實驗,看看人們的賬戶在透過網路挖掘資訊時有多麼脆弱。我徵得了一些我只是隨意認識的熟人的同意,在他們的允許和監督下,我嘗試入侵他們的網上銀行賬戶。經過一些令人不適的停頓後,有些人同意了。目標很簡單:透過使用網上公開的關於他們、他們的愛好、他們的家人和他們的生活的資訊,進入他們的網上銀行賬戶。需要明確的是,這不是駭客攻擊或利用漏洞,而是從網際網路上挖掘個人資料的片段。這裡有一個案例。我在這裡分享它,因為它代表了一些常見的陷阱,並說明了我們大多數人在網上都存在一個相當嚴重的弱點。
設定: 這是我稱之為“金”的受試者的案例。她是我的妻子的朋友,所以僅從之前的談話中,我就已經知道她的名字、她來自哪個州、她在哪裡工作,以及她的大概年齡。但這就是我所知道的全部。然後她告訴我她使用哪家銀行(儘管有一些相當容易找到的方法)以及她的使用者名稱。(事實證明它相當容易預測:她的名字首字母+姓氏。)基於這些資訊,我的任務是獲得她賬戶的訪問許可權。
第一步:偵察:使用她的名字和她工作的地方,我透過快速的 Google 搜尋找到了兩件事:一個部落格和一箇舊的簡歷。她的部落格是一個金礦:關於祖父母、寵物、家鄉等資訊(儘管事實證明我不需要使用大部分這些資訊)。從簡歷中,我得到了她以前的大學電子郵件地址,從她的部落格中我得到了她的 G-mail 地址。
支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的影響力故事的未來。
第二步:銀行密碼恢復功能:我的下一步是嘗試她網上銀行網站上的密碼恢復功能。該網站沒有問任何個人問題,而是首先向她的地址傳送了一封帶有重置連結的電子郵件,這很糟糕,因為我無法訪問她的電子郵件賬戶。所以電子郵件成了我的下一個目標。
第三步:G-mail:我嘗試恢復她的 G-mail 密碼,盲目地猜測這是銀行傳送密碼重置電子郵件的地方。當我嘗試重置她的 G-mail 賬戶密碼時,Google 將其密碼重置電子郵件傳送到她以前的大學電子郵件賬戶。有趣的是,G-mail 實際上會告訴您它將密碼重置電子郵件傳送到的域(例如,xxxxx.edu),所以現在我必須訪問它……唉。
第四步:大學電子郵件賬戶:當我在大學電子郵件伺服器上使用“忘記密碼”連結時,它要求我提供一些資訊來重置密碼:家庭住址?(勾選——在那份舊的線上簡歷中找到);家庭郵政編碼?(勾選——簡歷);家庭國家?(呃,好吧,勾選——在簡歷中找到);還有出生日期?(毀滅性的——我沒有這個)。我需要發揮創造力。
第五步:機動車輛管理局:希望她收到了一張超速罰單,我訪問了州交通法院的網站,因為許多州允許您按姓名搜尋違規行為和出庭記錄。這些記錄包括出生日期(以及其他資訊)。我玩弄了大約 30 分鐘,沒有任何進展,這時我意識到可能有一種更簡單的方法來做到這一點。
第六步:回到部落格:在罕見的清醒時刻,我只是在她的部落格中搜索了“生日”。她在帖子中提到了它,給了我日期和月份,但沒有年份。
第七步:終局(或如何推倒紙牌屋):我回到大學電子郵件密碼恢復螢幕,輸入她的出生日期,猜測年份。事實證明,我的出生年份錯誤,但令人難以置信的是,大學密碼重置網頁給了我五次機會,甚至告訴我哪個欄位的資訊不準確!然後我更改了她的大學電子郵件密碼,這讓我可以訪問她的 G-mail 密碼重置電子郵件。點選連結後,Google 問我一些個人資訊,我很容易在她的部落格上找到(出生地、父親的中間名等)。我更改了 G-mail 密碼,這讓我可以訪問銀行賬戶重置電子郵件,並且還被要求提供類似的個人資訊(寵物名字、電話號碼等),我在她的部落格上找到了這些資訊。一旦我重置了密碼,我就能訪問她的錢了(至少我本該能做到)。
不用說,金很不安。她的整個數字身份都岌岌可危地建立在她大學電子郵件賬戶的基礎上;一旦我訪問了它,其餘的安全防禦就像一排多米諾骨牌一樣倒下了。金的案例令人震驚的是它是多麼普遍。對於我們中的許多人來說,我們放在網上的大量個人資訊,加上傳送密碼重置電子郵件的流行模式,使我們的線上安全不穩定地依賴於一兩個電子郵件賬戶。在金的案例中,一些資訊來自部落格,但它也可能來自 MySpace 頁面,兄弟姐妹的部落格(談論他們的生日、媽媽的名字等)或來自網上的任何其他地方。
要對抗這種威脅,我們需要在如何證明我們在網上的身份以及我們在網際網路上提供什麼資訊方面做出更好的選擇。去進行自我檢查。嘗試重置您的密碼,看看會問什麼問題來驗證您的身份。有些問題比其他問題更好。例如,出生日期就很糟糕。除了機動車管理局之外,還有大量線上公開記錄,人們可以在其中追蹤到您的出生時間。大多數賬戶重置功能都會為您提供問題或方法選擇。選擇詢問您不會忘記(或至少可以查詢)的晦澀問題,例如您最喜歡的常旅客號碼。避免提出容易猜測的問題,例如您在哪個州開設了您的銀行賬戶。當然,所有這些都是權宜之計,直到我們找到更好的線上證明我們身份的方法。
同樣至關重要的是要記住,一旦您將資料放到網上,以後幾乎不可能將其刪除。您在部落格中談論自己的越多,您在社交網路個人資料中放入的細節越多,關於您的資訊就會被立即存檔、複製、備份和分析。先思考,後發帖。
至於金,她仍然在寫部落格,但現在她對她自願提供的資訊更加謹慎,並且清理了她的舊密碼和密碼提示問題。下次我這樣做時,我將不得不找出她最喜歡的小學老師的名字。