- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
小心!手机遗失后的连环信息泄露
导语:随着智能机的普及,越来越多的人将各种所需账号密码绑定到手机上,如果失窃一部手机,所带来的波及很可能如"蝴蝶效应"一般惊人,各种账户、密码都会暴露无遗。
遗失手机后,不少人烦恼的,也许只是失去了一部通话工具和里面的通讯录,鲜有人想到,你随之失去的,很可能还有当当、人人、新浪微博、腾讯微博、网易邮箱、支付宝、财付通……等等一系列网站的账号和密码。早在7月27日,曾有报道显示以手机号码注册的财付通、支付宝账户,可以通过手机轻易修改密码。本周《IT时报》记者继续跟踪调查发现,除了第三方支付,还有不少网站账户都提供手机绑定功能,且对找回、修改密码并没设置太多门槛,一旦用户遗失手机,便很可能因此泄露信息。
新浪微博、人人:编辑短信就可重置密码
时下热门的微博、社交网站、邮箱包含着诸多个人信息,手机号码能打开它们的大门吗?
在新浪微博登录页面中,输入手机号码,并点击"忘记密码",根据提示操作后,手机上便收到一条验证码,只要在网页上输入验证码就可以重新设置密码。腾讯微博也是如此,只需用"密保手机"发送新的密码到指定的号码,便会收到一条密码修改完成的短信,而密保手机往往就是登录用的手机号码。
在一些社交网站,找回密码的过程也颇为相似。如人人网,同样只需用"密保手机"编辑指定的短信发送到指定的地址就可以了。
一些电子邮箱同样也存在风险。比如网易的126邮箱,如果和手机号码绑定过,既可用户名登录,也可直接用手机号码登录,同样选择"忘记密码",网易会向手机发送验证码进行密码重置,然后便可以任意修改密码了,而密码更改后,手机并不会收到任何提示信息。
网易客服表示,手机号码的确是能解开邮箱的密码,他建议用户最好设置多重密保,例如密保邮箱、密保卡等,来加强密码保护。
当当网:客服透露用户信息
《IT时报》记者在各个网站逐一尝试的过程中发现,虽然有的账户信息仅通过自己操作并不能解决问题,而要寻求客服的帮助,但很多客服对用户信息的审核也只是走过场。
在当当网上,如果忘记密码,需要输入注册时的EMAIL地址。记者致电当当网客服,表示已经忘记了登录时的邮箱。该客服询问了记者绑定的手机号码和姓氏后,就直接告诉了记者EMAIL邮箱,甚至把记者在注册当当时填的地址也一并报了出来。知道邮箱后,点击"忘记密码",当当会向该邮箱发送密码重置的邮件,通过邮件,可以重新设置密码。而根据前文所言,如果用户邮箱恰巧是126等可以用手机解开的邮箱,当当账户丢失的风险依然存在。
QQ、MSN:手机号码不能破解信息
难道所有与手机绑定的网站都存在如此风险吗?
QQ作为最常用的聊天工具,也有不少用户把QQ号码和手机绑定,QQ号被盗走的可能性有多大?记者进行了尝试。在QQ安全中心的网页里,记者根据提示输入了绑定的手机号码和页面上的验证码,通过密保手机发送短信同样可以找回密码,但在最终提示信息中, QQ号码只显示了首末位数字。也就是说,即使有人拿到你的手机,修改了密码,却仍然会因为不知道QQ号码而无法登录。QQ客服向记者证实,仅凭手机号码的确找不到到QQ号码,想要找到号码,必须通过申诉,提供该QQ的一些使用信息等。
记者用同样的方法试着找回MSN的用户名和密码,也没有成功。
当然,也有与手机号码完全无关的网站,比如雅虎邮箱,只能通过回答密保问题,或发邮件到关联邮箱进行密码重设,和手机号码无关。
专家说法:企业应尽量杜绝管理漏洞
上海信息安全行业协会秘书长王强告诉记者,不少网站在安全技术手段方面还是比较注重的,但考虑到用户对方便的需求,往往会在快捷和方便之间做一些取舍。"这是不少企业一直碰到的难题,太复杂,没有用户愿意使用,而不安全,则会带来很多后续的问题。"
支付宝相关工作人员则向记者表示,支付宝开发产品的原则,是在安全的基础上尽量便捷,目前一些用户碰到的安全问题,可能是因为用户自己的使用习惯而造成,所谓的"漏洞"也要针对实际的案例才能知道究竟是什么原因。
但王强认为,企业除了加强技术保障以及用户自己要重视自我保护外,在管理上应该有不少工作可以做,"人工服务理应对用户进行最基本审核。但像当当网的客服,仅报出一个手机号码就告诉了用户想要询问的信息,甚至连没询问的信息也透露了,这就是管理漏洞,是不应该出现的。"
记者手记:安全模式没有快捷键
快捷,我所欲也,安全,亦我所欲也。
如今不少账户都"联姻"了,用多种方式都能登录,比如微博,可以用邮箱、手机号、MSN等登录,因此,只要一个信息泄露,或许会牵扯到多个账户的安危。这就像一个连环套,一旦其中一环出现问题,会波及其它。在方便的同时,这样的联姻带来了更多的担忧和风险,甚至还可能带来财产损失。
其实,对于用户来说,安全与便捷的选择题从来很好做,一定是安全最重要,尤其是一些与经济利益相关的账户。而企业往往为了争夺用户,尽量缩短用户在注册时的"犹豫期",而提供越来越便捷的方式,这样,它可以向投资人说:我的用户数是千万级、甚至亿级的。当然,这没有错,但最好问问自己,有没有在寻找更快捷方式的同时,花费更多的精力在确保安全上?
验证的时候,多填一个邮箱地址,用户多不了几秒钟时间;客服审核的时候,多回答一个问题,会让用户觉得更安心。为了安全,这些付出还是值得的,不用任何快捷键。
来源:IT时报
上一篇:HTC欧美陷困境
转投中国寻复兴
下一篇:M1s获入网
小米本周或发多款机型