我们对偏执狂和网上个人理财并不陌生，但从长远来看，流行的网络应用Mint仍然赢得了我们的青睐。安全专家和博客作者jasonowens提供了一些技巧，告诉你如何为你敏感的Mint账户增加额外的安全层。

大约一个月前，我写了一篇名为“Mint.com在2010年-它安全吗？”的文章，作为一个新用户，我想客观地评估使用该网站时真正的隐私和安全考虑。我试着从渗透测试仪的角度来考虑。如果我试图入侵某人的帐户，我怎么能试图获取用户的信息？

注意：在第一节中，欧文斯讨论了不同的方法，一个人可能会试图入侵您的薄荷帐户使用的方法略有不同，从我们以前的看如何容易你的弱密码可以被入侵。如果你只想看到他为你的Mint账户添加额外保护的提示，请单击此处直接跳到该部分。

以下不是什么新的或真正的原创。这些是常用的技巧，但作为受害者，对你来说可能是新的。如果你经常在上网的时候考虑安全问题，你不太可能会上当。不过，对于不知道下面某些漏洞的用户来说，黑客攻击有成功的可能。

描述你的Mint.com账户目前如何被黑客入侵的目的是a）让你意识到可能发生的情况，b）了解你能做些什么来保护自己。

我会怎样入侵你的mint.com帐户

暴力也许有用，但是…

强行输入密码是一种方法，但有点笨手笨脚。没有帐户锁定或失败尝试通知。从技术上讲，如果我知道什么是有效的帐户（可以确定），我可以让脚本在密码字典中运行，如果不起作用，让脚本用暴力尝试，直到它得到它。假设Mint.com不会阻止登录尝试（似乎是这样的），如果用户没有强密码，或者攻击者能够在受害者更改密码之前猜到密码，则帐户将受到损害。

用暴力破解一个账户可能会很吵，很费时，而且在某些标准下也不太优雅。然而，利用技术和社会工程的结合，对某人进行有针对性的攻击是可能的。

更社会化的方法

妥协的一部分

• 受害者使用WiFi
• 受害者已登录Mint.com
• 受害者通过POP或IMAP检查电子邮件（未加密）
• 攻击者可以看到受害者屏幕的顶部

这种攻击假设无论出于什么原因，你都会被挑出来。它可能是随机的，可能是无聊的脚本小子，也可能是有针对性的攻击。也许你是一个学校校长，学生们想挖出一些土，某人的老板刚刚被炒鱿鱼，或者你的室友认为你应该为你的那份房租付更多的钱。

假设有人可能通过WiFi登录到他们的帐户并非不现实。受害者可能在咖啡馆、公共图书馆、快餐店等，我们称之为面包店。breadplace中的连接可以是WPA、WEP或未加密的。WEP基本上毫无价值，尽管它仍然被使用。

受害者可能在浏览的同时查看Thunderbird、Mail、Outlook或其他客户端的电子邮件，这也不无道理。普通用户可能会认为，因为他们使用的是帐户密码，所以他们的邮件受到保护。受害者可能没有意识到的是，除非他们加密或隧道他们的电子邮件流量，他们的用户名和密码发送在网络上的明文。一些ISP不提供加密邮件流量的选项，而是建议您使用web界面检查邮件。

当受害者登录Mint.com时，他们的用户名会显示在屏幕顶部。作为一个攻击者，我有很多方法可以得到这些信息。坐在你身边，看着你的肩膀，当我走过的时候，假装给我的朋友拍照，当我真的给你拍照的时候，或者停下来说，“嘿，我听说过这个…”

Mint.com有一个忘记密码功能，允许你提交你的电子邮件地址。然后它会通过电子邮件给你一个链接，将你的帐户重置为新密码。没有挑战性问题或安全检查。你只需使用Mint.com的链接发送电子邮件给你。

我可以看你的邮件。我之所以能做到这一点，是因为我要么轻松破解了WEP流量，要么模拟了WiFi热点。你以为你在用面包店的免费WiFi，但实际上你要先去我的笔记本电脑，我在那里嗅探你的无线流量，然后把它发送到你要去的任何地方。因为你用的是普通的旧邮件，发送的是明文的邮件认证，我知道你的密码是什么，可以登录到你的电子邮件帐户。

在这一点上，作为攻击者，我拥有我所需要的一切。我不必让受害者要求密码重置，因为我可以自己提交，因为我知道帐户的电子邮件地址。所以我登录到你的电子邮件帐户，提交忘记密码链接，得到重置链接时，它是电子邮件给你，并删除电子邮件。因为没有挑战性问题，我可以立即重置你的帐户。我设置了一个新密码。然后我将帐户上的电子邮件地址更改为我已经设置的随机电子邮件帐户。

作为攻击者，我现在拥有你的Mint.com帐户，我相信你不会知道你的帐户或数据去了哪里。您无法恢复您的帐户或密码，因为您的电子邮件不再与该帐户关联。充其量，你可以发送一封帮助电子邮件到Mint.com支持，让他们查看他们的数据，看看你的帐户发生了什么，以及当前的电子邮件地址是什么。但我已经运行屏幕截图和捕捉尽可能多的我可以导出，PDF，或Evernote帐户。

斯金纳校长，我看到你钱包里有什么了。您最近从rubberlederhosen.com购买了…

如何更好地保护您的mint.com帐户

您的Mint.com帐户目前无法写入您的任何财务帐户。如果你的账户被黑客入侵了，那又有什么关系呢？如果你不在乎，或者没有任何隐私问题，那么这可能无关紧要。但要了解如果人们真的能访问你，他们能从你身上学到些什么——详情请参阅链接文章中的账户妥协部分。

如何保护您的mint.com帐户免受暴力攻击

• 不要使用你的常规电子邮件地址，专门为Mint.com设置一个（你可以将它转发到你的真实地址，这样你仍然可以收到通知）
• 把你的新电子邮件地址随意设置，这样就很难猜测了。
• 使用强密码
• 更改密码
• 将您的登录信息存储在KeePass这样的密码数据库中，这样您就不需要记住它了

如何保护您的mint.com帐户免受社会工程和重置攻击

• 知道如何保护你的电子邮件
• 把你的新电子邮件地址随意设置，这样就很难猜测了
• 不要被欺负或操纵
• 记住，如果你在公共场合，要保护你电脑屏幕上的内容
• 不要点击电子邮件中的可疑链接
• 不要从共享的未受保护的公共计算机（如图书馆）登录Mint.com帐户

应要求的其他建议

您可以要求Mint.com添加以下功能

• 在登录时隐藏或禁用帐户名显示的功能
• 向密码重置功能添加质询问题的功能
• 需要对重置过程进行后续确认的两步流程
• 可以选择从多个帐户批准重置
• 从以前与帐户关联的任何电子邮件中恢复密码的功能

你可以在Twitter@Jason\u owens上关注Jason并订阅他的RSS提要。

我会如何入侵你的Mint.com帐户[杰森·欧文斯]