TripAdvisor重置受损密码。用户需要做什么?
上周,一些TripAdvisor用户收到了与其帐户安全相关的电子邮件通知 。它很可能是一个不太好执行的好主意的完美例子。
该电子邮件显示,TripAdvisor确实在照顾其用户,并且有充分的理由。几年前,使用旅行和餐馆评级平台的人再次收到电子邮件通知 。当时,TripAdvisor注意到某些帐户的未经授权的访问,并且它试图提醒用户有关它。
不过,TripAdvisor并没有遭到黑客入侵。这些骗子正在使用其他在线服务中数据泄露期间泄露的用户名和密码列表,并利用了许多人重用密码的事实。换句话说,TripAdvisor用户是凭证填充攻击的目标 。
TripAdvisor试图积极主动
TripAdvisor的安全人员不希望再次发生这种情况,这就是为什么他们希望确保尽可能少的旅行者使用受损密码。他们从其他服务中获取了充满电子邮件和密码组合的数据库,并开始将它们与自己用户的登录数据进行比较。可以预见的是,他们发现了不止一些比赛,他们正在提醒人们。
所有受泄露密码保护的帐户都已被锁定,如果所有者想要继续使用TripAdvisor,则需要选择新密码。它还将根据受损数据进行检查,如果匹配,旅行平台将不允许这样做。电子邮件提醒附带了几乎强制性的提示,使密码长而复杂。当然,还有针对密码重用的警告。
人们的密码卫生简直可怕 ,并且迫使他们远离已经受到侵害的密码可能是我们可以采取的改善情况的第一步。许多在线服务应该注意并遵循TripAdvisor的脚步。问题是,他们可以(而且应该)做得更好。
缺乏信息和不完美的通知让人们产生了疑问
对网络安全感兴趣的人对TripAdvisor的电子邮件颇有兴趣。最初,他们认为旅行平台使用HaveIBeenPwned数据泄露通知服务来检查用户的密码。然而,HaveIBeenPwned的创造者Troy Hunt没有证实这一点,这让人们想知道TripAdvisor从哪里获得了受到破坏的数据. 他们也想知道这项检查对于TripAdvisor的密码存储机制可能意味着什么。
不幸的是,这些问题仍然没有答案。 TripAdvisor没有正式宣布测试,也没有说明它的实施方式。虽然人们在提问,但在线服务仍然没有发布任何信息。
电子邮件也不是令人信服的定义。事实上它以“亲爱的TripAdvisor旅行者”和密码重置页面的链接开始实际上让一些人认为这是一个网络钓鱼骗局。谢天谢地,事实并非如此。该电子邮件是100%合法的,如果您收到它,您一定要仔细阅读并按照说明进行操作。
出于好意,TripAdvisor应该知道,当人们的隐私受到威胁时,透明度至关重要。缺乏官方信息和电子邮件的设计方式让人们产生了疑问,这种情况不应该发生。
希望下一个决定让人们摆脱被盗密码的平台将更加关注它正在做什么以及如何做。