对2014年俄罗斯安全漏洞(CyberVor)的适当反应

Question

保时捷保安公司的报告说，这个党拥有12亿套证书。我有一种感觉，这份报告可能是一个骗局或部分骗局，因为语法错误(“当我们准备好我们的全部服务”)和自我广告的电子身份监测服务。如果这是真的，我该如何应对这种大规模的证件盗窃呢？报告建议提供身份保护服务，但是否足够？

Answer 1

该报告在NYTimes.com -俄罗斯黑客收集了超过10亿个互联网密码上进行身份验证。但是很多事情还不清楚，甚至连“时代”也没有注意到维护安全的利益冲突是通过用可怕但不具体的措辞来建立的，而且只是提供自己的有偿服务来帮助受害者，就像你提到的那样。

我感到惊讶的是，在将密码存储在密码数据库中之前，没有讨论正确咸化和缓慢散列密码的重要性，正如在“密码”标签wiki中讨论的那样。如果一个网站这样做，并且密码很强，黑客就不能仅仅通过从网站下载数据库来学习密码。他们需要修改网站认证代码，并在用户登录时以交互方式捕获密码。因此，他们只会缓慢地获得活跃用户的密码，而这种对网站的攻击更有可能被注意到。

当然，许多web应用程序甚至不遵循这些基本实践，例如在密码学-例如使用未加盐散列的著名应用程序中讨论过

最终用户应该利用这个和其他网站黑客的报告来激励他们小心与哪些网站进行交互，并在如何处理密码方面变得聪明。使用支持使用保护良好的web登录服务的网站需要双因素身份验证，这比使用资源较少的管理自己的密码数据库的网站更好。还请参阅在如何帮助用户基于妥协风险管理密码组合？-信息安全堆栈交换中以正确的方式处理大型密码组合的技术。

如果您在其他站点上重复使用了重要站点的密码，您可以从更改这些密码中获益，例如，如果重要站点不容易受到攻击，但另一个具有相同密码的站点已被黑客攻击。但是，由于许多有问题的站点仍然很脆弱，现在在其中一个站点上更改密码可能不会有多大帮助。而且，正如密码组合讨论中所指出的那样，对于那些您实际上没有任何信息或资产处于危险中的站点，更改密码并不那么重要。

Answer 2

在美国，身份保护通常包括在以你的名义取得信用时得到通知，或者通过声称你的身份已经被泄露而锁定你的信用档案。考虑到下面提到的法律限制，这对我来说似乎没有什么价值，但也许它能帮助你在晚上睡觉。

如果你在美国，建议你使用法律系统，并限制你在任何网上借记账户中的可用资金，同时使用信用卡，因为不支付无效账单比把钱退回空账户要容易。在这里，他们的责任限制在50美元，如果你受到攻击，参考链接。

这对我们所有人和希望与我们交易的人来说都是一个问题(参见塔吉特本周公布的1.48亿美元亏损)。芯片和Pin信用卡将在未来几年内来到美国，但在威胁方面没有什么重大的改变，所以要学会接受它并理解你的合法权利。