另一项流行的服务Quora开始让人感觉像是一个每周的传统，这一次它已经表明它是一个安全漏洞的受害者，这个漏洞可能已经影响到它的用户。像往常一样，你的一些个人信息（或登录凭据）可能掌握在那些不应该拥有这些信息的人手中，你需要采取措施来保护你的帐户和/或在线生活。

如果你曾经在Quora上做过账户，以下是你需要知道的：

这次什么被黑了？

Quora发送了一封电子邮件并发布了一个博客，以提供有关最近影响其服务的安全漏洞的更多信息。首先，Quora想让你知道非常抱歉(这并不能减少处理这个过程的烦人，但从强烈的道歉开始总是好的。）

第二，这个漏洞影响了大约1亿Quora用户。根据过去几个月的一些数据，这大约是其每月活跃用户数的三分之一。第三，Quora正在积极调查周五刚刚发现的漏洞，以下是迄今为止的发现：

“对于大约1亿Quora用户，以下信息可能已被泄露：

• 帐户信息，例如姓名、电子邮件地址、加密（哈希）密码、用户授权时从链接网络导入的数据
• 公共内容和行动，例如问题、答案、评论、投票
• 非公开内容和操作，例如应答请求、拒绝投票、直接消息（请注意，Quora用户发送或接收此类消息的百分比很低）

Quora试图淡化该漏洞的密码部分，后来评论说，“虽然密码是加密的（用不同用户的盐散列），但通常最好的做法是不要在多个服务中重复使用同一个密码，我们建议人们在这样做的情况下更改密码。”

不过，你应该更关心一点。Quora没有详细说明它用什么样的散列函数来加密这些密码，Ars Technica的Dan Goodin指出这是一个非常关键的遗漏。如果Quora采用了一种更简单的方法，那么这些密码就不会像他描述的那样受到保护：

“具体的哈希函数非常重要。如果是使用不含加密盐的MD5等快速算法的迭代次数少于10000次，那么使用现成硬件和公开的单词列表的黑客可以在一两天内破解多达80%的密码哈希。相比之下，像bcrypt这样的函数可以阻止很大比例的哈希转换成纯文本。”

至少你可以从这个漏洞中找到安慰，因为它并没有影响到你在Quora上发布的任何匿名问题或答案。网站似乎没有以任何方式将这些与您的帐户相关联。

你下一步该怎么办？

Quora正在给那些可能受到这次破坏影响的人发邮件。但是，即使你没有收到电子邮件，像这样的情况是一个伟大的时间来审查你的在线安全设置。例如：

你是否在Quora上为其他网站和服务使用了相同的密码？

别这样。我知道，我知道；我也做过。但是考虑到使用密码管理工具为您使用的每个站点和服务创建长、复杂而且最重要的是唯一的密码是多么容易，您没有理由在多个站点上使用相同的密码。尽管认真对待密码创建并不能阻止这些漏洞的发生，但它会大大减轻它们的影响。

您使用两因素身份验证还是两步身份验证？

当有人试图以你的身份登录时，一个好的站点或服务会警告你它检测到一个新的登录名，如果它不是你的话，你可能想做些什么。一个更好的站点或服务会向您提供第二种形式的验证—文本代码、身份验证提示、从软件或硬件令牌读取的数字，等等，您还必须输入密码才能访问。如果您还没有为您登录的各种东西设置双因素身份验证，请查看它是否是一个选项。如果是的话，你不使用它只会对你自己造成伤害。

你有很多休眠账户吗？

我不是Quora的大用户。事实上，我已经很久没有问过或回答过一个问题了，我甚至都不记得上次登录是什么时候了。不过，我有一个账户，收到“你可能会完蛋”的邮件让我想起了这个事实。

虽然强大、唯一的密码和双因素身份验证可以帮助您在您喜爱的网站或服务总是被黑客攻击后保持安全，但不要忘记您以前使用的所有服务，不再访问。如果你不再访问Quora（或者Facebook，或者Twitter，或者其他什么），那么进入并删除你的账户。

虽然不能保证将来的漏洞不会挖出你的旧信息，但当你清除不再使用的帐户时，你有更大的机会防止信息外泄。

你会忽略很多邮件吗？

Quora首先通过电子邮件通知了受影响的用户，毫无疑问，它将使用电子邮件让用户知道与其重大安全漏洞有关的任何其他信息。虽然我们都会收到大量的电子邮件，但为诸如“安全”、“帐户”或“泄露”之类的词设置一个过滤器是值得的——举几个例子，这样你就不太可能错过通知你下一个重大漏洞的电子邮件。