TripAdvisor重置受損密碼。用戶需要做什麼？

上週，一些TripAdvisor用戶收到了與其帳戶安全相關的電子郵件通知 。它很可能是一個不太好執行的好主意的完美例子。

該電子郵件顯示，TripAdvisor確實在照顧其用戶，並且有充分的理由。幾年前，使用旅行和餐館評級平台的人再次收到電子郵件通知 。當時，TripAdvisor注意到某些帳戶的未經授權的訪問，並且它試圖提醒用戶有關它。

不過，TripAdvisor並沒有遭到黑客入侵。這些騙子正在使用其他在線服務中數據洩露期間洩露的用戶名和密碼列表，並利用了許多人重用密碼的事實。換句話說，TripAdvisor用戶是憑證填充攻擊的目標 。

TripAdvisor試圖積極主動

TripAdvisor的安全人員不希望再次發生這種情況，這就是為什麼他們希望確保盡可能少的旅行者使用受損密碼。他們從其他服務中獲取了充滿電子郵件和密碼組合的數據庫，並開始將它們與自己用戶的登錄數據進行比較。可以預見的是，他們發現了不止一些比賽，他們正在提醒人們。

所有受洩露密碼保護的帳戶都已被鎖定，如果所有者想要繼續使用TripAdvisor，則需要選擇新密碼。它還將根據受損數據進行檢查，如果匹配，旅行平台將不允許這樣做。電子郵件提醒附帶了幾乎強制性的提示，使密碼長而復雜。當然，還有針對密碼重用的警告。

人們的密碼衛生簡直可怕 ，並且迫使他們遠離已經受到侵害的密碼可能是我們可以採取的改善情況的第一步。許多在線服務應該注意並遵循TripAdvisor的腳步。問題是，他們可以（而且應該）做得更好。

缺乏信息和不完美的通知讓人們產生了疑問

對網絡安全感興趣的人對TripAdvisor的電子郵件頗有興趣。最初，他們認為旅行平台使用HaveIBeenPwned數據洩露通知服務來檢查用戶的密碼。然而，HaveIBeenPwned的創造者Troy Hunt沒有證實這一點，這讓人們想知道TripAdvisor從哪裡獲得了受到破壞的數據. 他們也想知道這項檢查對於TripAdvisor的密碼存儲機制可能意味著什麼。

不幸的是，這些問題仍然沒有答案。 TripAdvisor沒有正式宣布測試，也沒有說明它的實施方式。雖然人們在提問，但在線服務仍然沒有發布任何信息。

電子郵件也不是令人信服的定義。事實上它以“親愛的TripAdvisor旅行者”和密碼重置頁面的鏈接開始實際上讓一些人認為這是一個網絡釣魚騙局。謝天謝地，事實並非如此。該電子郵件是100％合法的，如果您收到它，您一定要仔細閱讀並按照說明進行操作。

出於好意，TripAdvisor應該知道，當人們的隱私受到威脅時，透明度至關重要。缺乏官方信息和電子郵件的設計方式讓人們產生了疑問，這種情況不應該發生。

希望下一個決定讓人們擺脫被盜密碼的平台將更加關注它正在做什麼以及如何做。