个人账号和文件遭遇云端“连环删”,如何让私有云服务更安全?

今年8月,《连线》杂志的知名作者Mat Honan发表了一篇博文讲述了自己的Twitter、Gmail和Amazon账号,以及iPhone、iPad、MacBook上所有文件都被删除的经历,这篇博文让Apple和Amazon取消了电话重置密码的服务,而关于云服务上的隐私和账号安全问题也成了人们关心的问题。今天在VentureBeat举办的CloudBeat峰会上,HP的高级安全顾问Rafal Los, CloudPassage的安全主管Andrew Hay, Qualys的CTO Wolfgang Kandek讨论了云服务的安全问题的远景与现在可行的办法。

Mat Honan的故事是这样的:黑Mat Honan账号的黑客的终极目标是用他的Twitter账号发一条“此账号已被***黑了”的推文。为了实现这个目标,他们先黑了他的Amazon账户,然后从Amazon得到了他信用卡的最后四位和他的地址。黑客接着给Apple的客服打电话要求密码重置。

因为Mat的生平在Google上都可以查到,加上之前在Amazon上得知的信用卡末四位,黑客们轻松回答出了客服提出的安全提示问题。黑客把Mat的Apple账号密码重置之后就远程删除了在那个账号下的一切信息,包括Mat的iPhone、iPad和MacBook。紧接着,黑客又重置了Mat的Gmail密码,并删除了里面多有的邮件,因为Mat的Twitter账号是用Gmail注册的,最终用Mat的Twitter账号发了一条“此账号已被黑”的推文。更幽默的是,当Mat本人打电话给Apple客服时,因为回答不出客服的问题,被以为是个黑客。

当HP的高级安全顾问Rafal Los讨论到这个问题的时候,他用一句话总结“云计算是人发明的,所以再怎么保护,都可以人为进行破坏。所以是没有绝对安全一说的。那么我们怎样避免Mat Honan的事发生在我们身上呢?

 

定期备份在硬盘里

很多人会把数据和资料备份在云服务器上。很显然,Mat就是一个很好的反例 。Qualys的CTO Wolfgang Kandek建议大家不仅要把资料备份在云服务器 ,还要把资料备份在硬盘上。这样不仅防黑客,当发生断电、地震等小概率事件时,也不会有资料丢失的情况。

每个账号都使用不同的密码

记密码对很多人来说都是件头疼的事,如果每个账号都有不同的密码的就更不用说了。但是,哪里有需求哪里就有商机。RoboFormLassPass是两个帮你对每个网页、邮件账户等生成不同的密码的软件。在你登陆的时候,只需输入一个主密码就可以登陆。

链接账号很危险

当下载新的应用时,常常会被问要不要与微博、Facebook等账号链接,这样虽然方便,但非常可能出现Mat这样账号连环被黑的情况。所以不要偷懒,为每个应用设置单独的密码和账户名吧!

随时随地输入验证码(Two-factor authentication)

CloudPassage的安全主管Andrew Hay强烈推荐使用Gmail和Facebook上的双重登陆。双重登陆是让需要一个密码和一个硬件支持。比如说,你在登陆Gmail的时候,Google会给通过手机和语音留言发给你验证码,每隔一个月就需要再次输入一个验证码。

 

订阅更多文章