quora最近的資料洩露後如何保護自己

另一項流行的服務Quora開始讓人感覺像是一個每週的傳統，這一次它已經表明它是一個安全漏洞的受害者，這個漏洞可能已經影響到它的使用者。像往常一樣，你的一些個人資訊（或登入憑據）可能掌握在那些不應該擁有這些資訊的人手中，你需要採取措施來保護你的帳戶和/或線上生活。...

Illustration for article titled How to Protect Yourself After Quora's Recent Data Breach

另一項流行的服務Quora開始讓人感覺像是一個每週的傳統，這一次它已經表明它是一個安全漏洞的受害者，這個漏洞可能已經影響到它的使用者。像往常一樣，你的一些個人資訊（或登入憑據）可能掌握在那些不應該擁有這些資訊的人手中，你需要採取措施來保護你的帳戶和/或線上生活。

如果你曾經在Quora上做過賬戶，以下是你需要知道的：

這次什麼被黑了？

Quora發送了一封電子郵件併發布了一個部落格，以提供有關最近影響其服務的安全漏洞的更多資訊。首先，Quora想讓你知道非常抱歉(這並不能減少處理這個過程的煩人，但從強烈的道歉開始總是好的。）

第二，這個漏洞影響了大約1億Quora使用者。根據過去幾個月的一些資料，這大約是其每月活躍使用者數的三分之一。第三，Quora正在積極調查週五剛剛發現的漏洞，以下是迄今為止的發現：

“對於大約1億Quora使用者，以下資訊可能已被洩露：

帳戶資訊，例如姓名、電子郵件地址、加密（雜湊）密碼、使用者授權時從連結網路匯入的資料
公共內容和行動，例如問題、答案、評論、投票
非公開內容和操作，例如應答請求、拒絕投票、直接訊息（請註意，Quora使用者傳送或接收此類訊息的百分比很低）

Quora試圖淡化該漏洞的密碼部分，後來評論說，“雖然密碼是加密的（用不同使用者的鹽雜湊），但通常最好的做法是不要在多個服務中重覆使用同一個密碼，我們建議人們在這樣做的情況下更改密碼。”

不過，你應該更關心一點。Quora沒有詳細說明它用什麼樣的雜湊函式來加密這些密碼，Ars Technica的Dan Goodin指出這是一個非常關鍵的遺漏。如果Quora採用了一種更簡單的方法，那麼這些密碼就不會像他描述的那樣受到保護：

“具體的雜湊函式非常重要。如果是使用不含加密鹽的MD5等快速演算法的迭代次數少於10000次，那麼使用現成硬體和公開的單詞列表的駭客可以在一兩天內破解多達80%的密碼雜湊。相比之下，像bcrypt這樣的函式可以阻止很大比例的雜湊轉換成純文字。”

至少你可以從這個漏洞中找到安慰，因為它並沒有影響到你在Quora上釋出的任何匿名問題或答案。網站似乎沒有以任何方式將這些與您的帳戶相關聯。

你下一步該怎麼辦？

Quora正在給那些可能受到這次破壞影響的人發郵件。但是，即使你沒有收到電子郵件，像這樣的情況是一個偉大的時間來審查你的線上安全設定。例如：

你是否在Quora上為其他網站和服務使用了相同的密碼？

別這樣。我知道，我知道；我也做過。但是考慮到使用密碼管理工具為您使用的每個站點和服務建立長、複雜而且最重要的是唯一的密碼是多麼容易，您沒有理由在多個站點上使用相同的密碼。儘管認真對待密碼建立並不能阻止這些漏洞的發生，但它會大大減輕它們的影響。

您使用兩因素身份驗證還是兩步身份驗證？

當有人試圖以你的身份登入時，一個好的站點或服務會警告你它檢測到一個新的登入名，如果它不是你的話，你可能想做些什麼。一個更好的站點或服務會向您提供第二種形式的驗證—文字程式碼、身份驗證提示、從軟體或硬體令牌讀取的數字，等等，您還必須輸入密碼才能訪問。如果您還沒有為您登入的各種東西設定雙因素身份驗證，請檢視它是否是一個選項。如果是的話，你不使用它只會對你自己造成傷害。

你有很多休眠賬戶嗎？

我不是Quora的大使用者。事實上，我已經很久沒有問過或回答過一個問題了，我甚至都不記得上次登入是什麼時候了。不過，我有一個賬戶，收到“你可能會完蛋”的郵件讓我想起了這個事實。

雖然強大、唯一的密碼和雙因素身份驗證可以幫助您在您喜愛的網站或服務總是被駭客攻擊後保持安全，但不要忘記您以前使用的所有服務，不再訪問。如果你不再訪問Quora（或者Facebook，或者Twitter，或者其他什麼），那麼進入並刪除你的賬戶。

雖然不能保證將來的漏洞不會挖出你的舊資訊，但當你清除不再使用的帳戶時，你有更大的機會防止資訊外洩。

你會忽略很多郵件嗎？

Quora首先透過電子郵件通知了受影響的使用者，毫無疑問，它將使用電子郵件讓使用者知道與其重大安全漏洞有關的任何其他資訊。雖然我們都會收到大量的電子郵件，但為諸如“安全”、“帳戶”或“洩露”之類的詞設定一個過濾器是值得的——舉幾個例子，這樣你就不太可能錯過通知你下一個重大漏洞的電子郵件。