雅虎哈克:为什么你不应该删除你的帐户

作者:房殊

本周早些时候有关雅虎2013年遭受的大规模违规行为的一项启示发现,有30亿用户帐户遭到入侵。总数是之前报告的数字的三倍,基本上包含了通过摇摇欲坠的科技巨头创造的每个账户。由于违规行为包括用户名和密码,因此突然发现自己面临暴露风险的数十亿人尤其感到不安。许多用户可能决定完全删除他们的帐户,而不是仅仅通过更改密码而烦恼,但这样做可能会带来额外的麻烦。相反,用户应考虑为其帐户添加额外的安全性以防止泄密。用户应该首先关注从网站上删除他们的帐户,这是雅虎在回收电子邮件地址方面令人不安的做法。 2013年,该公司宣布了一项“释放”未使用的帐户名称以便其他人提出索赔的做法。雅虎不是简单地让帐户所有者删除电子邮件地址,而是允许其他人在该用户名处于非活动状态一年后声明该用户名。由于电子邮件地址通常与个人身份相关联,因此允许某人接管其他人的旧帐户会产生欺诈活动的可能性。重新传播旧电子邮件地址的决定几乎立即引起了问题,因为声称已放弃帐户的人开始收到针对原始帐户所有者的邮件。为希望切断与公司关系的雅虎用户增加问题的是奇怪的帐户删除流程。今年早些时候,人们发现当用户要求完成时,雅虎实际上并未删除帐户。相反,公司的安全协议要求帐户在删除请求之后的90天内保持不活动状态,然后再删除它们。系统为用户提出了问题,因为任何活动都会重新启动90天计时器。如果用户再次尝试登录该帐户,则会重置该过程。这也意味着如果恶意行为者试图登录 - 他们很可能会这样做,因为黑暗网络的角落里有30亿个帐户名和密码。在某些情况下,用户甚至报告称雅虎在90天后未能删除其帐户,并且仍然可以访问该帐户。除了尝试再次登录之外,没有用于确认帐户被删除的验证过程 - 这样做可能会重新启动该过程。用户应该考虑启用双因素身份验证,而不是删除Yahoo帐户。这样做不需要用户定期继续使用该帐户,但会为每次登录尝试添加额外要求。使用双因素身份验证时,输入帐户名和密码不会自动授予尝试登录Yahoo的用户的访问权限。系统将发送带有代码的文本消息到与该帐户关联的电话号码。用户必须输入该代码才能实际访问该帐户。如何为Yahoo帐户设置双因素身份验证要启用双因素身份验证,用户必须登录其Yahoo帐户。登录后,转到“帐户安全”页面。选择“两步验证”并单击切换按钮到打开位置,以启用两步验证过程。雅虎将要求用户输入手机号码,然后选择接收带有代码的短信或接收类似提供代码的自动电话。用户在屏幕上的文本框中输入验证码并单击“验证”按钮后,他们将激活双因素身份验证。然后,每次登录都需要额外的代码才能访问该帐户。额外的安全层将保护帐户并在未经授权的人尝试登录其帐户时提醒用户。....