作为一名教授、软件开发人员和作者,我一直从事软件安全工作。我决定进行一项实验,看看人们的账户在通过网络挖掘信息时有多么脆弱。我征得了一些我只是随意认识的熟人的同意,在他们的允许和监督下,我尝试入侵他们的网上银行账户。经过一些令人不适的停顿后,有些人同意了。目标很简单:通过使用网上公开的关于他们、他们的爱好、他们的家人和他们的生活的信息,进入他们的网上银行账户。需要明确的是,这不是黑客攻击或利用漏洞,而是从互联网上挖掘个人数据的片段。这里有一个案例。我在这里分享它,因为它代表了一些常见的陷阱,并说明了我们大多数人在网上都存在一个相当严重的弱点。
设置: 这是我称之为“金”的受试者的案例。她是我的妻子的朋友,所以仅从之前的谈话中,我就已经知道她的名字、她来自哪个州、她在哪里工作,以及她的大概年龄。但这就是我所知道的全部。然后她告诉我她使用哪家银行(尽管有一些相当容易找到的方法)以及她的用户名。(事实证明它相当容易预测:她的名字首字母+姓氏。)基于这些信息,我的任务是获得她账户的访问权限。
第一步:侦察:使用她的名字和她工作的地方,我通过快速的 Google 搜索找到了两件事:一个博客和一个旧的简历。她的博客是一个金矿:关于祖父母、宠物、家乡等信息(尽管事实证明我不需要使用大部分这些信息)。从简历中,我得到了她以前的大学电子邮件地址,从她的博客中我得到了她的 G-mail 地址。
支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和想法的影响力故事的未来。
第二步:银行密码恢复功能:我的下一步是尝试她网上银行网站上的密码恢复功能。该网站没有问任何个人问题,而是首先向她的地址发送了一封带有重置链接的电子邮件,这很糟糕,因为我无法访问她的电子邮件账户。所以电子邮件成了我的下一个目标。
第三步:G-mail:我尝试恢复她的 G-mail 密码,盲目地猜测这是银行发送密码重置电子邮件的地方。当我尝试重置她的 G-mail 账户密码时,Google 将其密码重置电子邮件发送到她以前的大学电子邮件账户。有趣的是,G-mail 实际上会告诉您它将密码重置电子邮件发送到的域(例如,xxxxx.edu),所以现在我必须访问它……唉。
第四步:大学电子邮件账户:当我在大学电子邮件服务器上使用“忘记密码”链接时,它要求我提供一些信息来重置密码:家庭住址?(勾选——在那份旧的在线简历中找到);家庭邮政编码?(勾选——简历);家庭国家?(呃,好吧,勾选——在简历中找到);还有出生日期?(毁灭性的——我没有这个)。我需要发挥创造力。
第五步:机动车辆管理局:希望她收到了一张超速罚单,我访问了州交通法院的网站,因为许多州允许您按姓名搜索违规行为和出庭记录。这些记录包括出生日期(以及其他信息)。我玩弄了大约 30 分钟,没有任何进展,这时我意识到可能有一种更简单的方法来做到这一点。
第六步:回到博客:在罕见的清醒时刻,我只是在她的博客中搜索了“生日”。她在帖子中提到了它,给了我日期和月份,但没有年份。
第七步:终局(或如何推倒纸牌屋):我回到大学电子邮件密码恢复屏幕,输入她的出生日期,猜测年份。事实证明,我的出生年份错误,但令人难以置信的是,大学密码重置网页给了我五次机会,甚至告诉我哪个字段的信息不准确!然后我更改了她的大学电子邮件密码,这让我可以访问她的 G-mail 密码重置电子邮件。点击链接后,Google 问我一些个人信息,我很容易在她的博客上找到(出生地、父亲的中间名等)。我更改了 G-mail 密码,这让我可以访问银行账户重置电子邮件,并且还被要求提供类似的个人信息(宠物名字、电话号码等),我在她的博客上找到了这些信息。一旦我重置了密码,我就能访问她的钱了(至少我本该能做到)。
不用说,金很不安。她的整个数字身份都岌岌可危地建立在她大学电子邮件账户的基础上;一旦我访问了它,其余的安全防御就像一排多米诺骨牌一样倒下了。金的案例令人震惊的是它是多么普遍。对于我们中的许多人来说,我们放在网上的大量个人信息,加上发送密码重置电子邮件的流行模式,使我们的在线安全不稳定地依赖于一两个电子邮件账户。在金的案例中,一些信息来自博客,但它也可能来自 MySpace 页面,兄弟姐妹的博客(谈论他们的生日、妈妈的名字等)或来自网上的任何其他地方。
要对抗这种威胁,我们需要在如何证明我们在网上的身份以及我们在互联网上提供什么信息方面做出更好的选择。去进行自我检查。尝试重置您的密码,看看会问什么问题来验证您的身份。有些问题比其他问题更好。例如,出生日期就很糟糕。除了机动车管理局之外,还有大量在线公开记录,人们可以在其中追踪到您的出生时间。大多数账户重置功能都会为您提供问题或方法选择。选择询问您不会忘记(或至少可以查找)的晦涩问题,例如您最喜欢的常旅客号码。避免提出容易猜测的问题,例如您在哪个州开设了您的银行账户。当然,所有这些都是权宜之计,直到我们找到更好的在线证明我们身份的方法。
同样至关重要的是要记住,一旦您将数据放到网上,以后几乎不可能将其删除。您在博客中谈论自己的越多,您在社交网络个人资料中放入的细节越多,关于您的信息就会被立即存档、复制、备份和分析。先思考,后发帖。
至于金,她仍然在写博客,但现在她对她自愿提供的信息更加谨慎,并且清理了她的旧密码和密码提示问题。下次我这样做时,我将不得不找出她最喜欢的小学老师的名字。