苹果iCloud的安全隐患

苹果（Apple）iCloud云服务带来了包括邮箱、日历、联系人、“找到我的iPhone”以及云存储在内的一系列功能，并将这些功能存储在一个用户名和密码之下。这使用起来非常便捷，但如果用户名和密码落入坏人之手，你会立刻发现自己苦不堪言。

这一幕就发生在科技网站Gizmodo的前记者、《连线》杂志（WIRED）的前特约编辑马特·霍南（Mat Honan）身上。在进入他的Twitter和Gizmodo账户之前，黑客首先潜入了他的iCloud账户，并造成了不可挽回的破坏。

“ 下午4:50，有人潜进我的iCloud账户，重设了密码并删除了重设确认信息。我的密码由7位字母和数字组成，并未用于其他场合。许多年前，当我设置这个密码时，它看上去很安全。但事实上不然，尤其是我已经使用了这个密码很多年。我猜测他们用强力攻击法（brute force）破解密码，然后重设密码并对我多个设备进行破坏。

我Gmail账户的备份邮件地址就是那个被盗的mac邮箱地址。下午4:52，黑客发送了一封找回Gmail邮箱密码的邮件到mac账户。两分钟后，我收到一封邮件通知，我的谷歌（Google）账户密码已更改。

下午5:00，黑客远程清除了我iPhone上的数据

下午5:01，黑客远程清除了我iPad上的数据

下午5:05，黑客远程清除了我MacBook Air上的数据

最终的结果是造成了严重的破坏。

我仍不能登录Gmail。我的iPhone和iPad不能正常运行（但正在进行修复。苹果告诉我在没有对设备进行仔细检查的情况下，远程清除很可能不可逆。因为没有备份数据，我丢失了一年多的照片、邮件、文档以及其他内容。并且，谁知道还丢了些什么！ “

黑客们只需弄到一个用户名和密码就可以进行所有这些破坏。霍楠认为这是由一个称之为强力攻击的程序完成的，就是不断尝试密码直到对为止。这个过程很漫长，但如果密码够简单或很短，还是可以办到的。短密码几乎和没有密码一样糟糕，事实上，短密码更糟糕，因为短密码给你一种貌似安全的错觉。

就像对霍楠帖子的评论中所指出的，iCloud的一个问题是，你只需要一个用户名和密码就可以访问账户，而谷歌的账户可以通过两步认证的方式加以保护。除了输入用户名和密码外，你可以对自己的谷歌账户进行设置，在进入账户前先输入一个由谷歌以短信形式发送到你手机上的六位密码。虽然这显然比只使用用户名和密码更加繁琐，但它大大提高了账户的安全性。

如果你有一个iCloud账户，让这件事给你敲个警钟。我建议你更改密码，选择比较长的随机密码——我现在的密码就是这样。

外面的世界真危险啊！