Evernote hack显示密码不够好

Evernote在周末透露，它是数据泄露的受害者，通过电子邮件发送用户信息并在其网站上发布通知，指出攻击者可以访问关联的用户名，电子邮件地址和加密密码与Evernote帐户。作为预防措施，Evernote迫使所有5000万用户重置密码。这是一个很好的举措，但这还不够好 - 所以Evernote正在加快推出双因素身份验证的计划。

印象笔记用户在更改密码之前被锁定在帐户之外。

印象笔记'最初设计为商业服务，至少在Evernote for Business的12月发布之前。 Evernote主要是一个类似于微软OneNote的笔记和组织工具。 Evernote提供一系列服务 - 包括Evernote食品，Evernote Peek，Skitch，Penultimate等 - 作为各种操作系统和移动平台上基于Web的工具或应用程序。它能够通过各种设备访问和同步数据，因此很适合用作商业工具。

Evernote本质上是您存储个人和专业数据的服务的主要示例。就像任何基于云的服务一样，它带有一些固有的风险。无论您何时将业务数据放入云中 - 特别是敏感信息（例如客户名称或地址，银行或财务详细信息或专有公司研究），您都信任供应商来保护它。但值得注意的是，你仍然要对你的数据发生什么负责。

[进一步阅读：最好的电视串流服务]

一个密码来统治它们？

Evernote推送软件更新

Evernote声称攻击者捕获的密码数据是加密的，但它仍然会让所有用户选择新的密码以防万一。正如备受尊敬的安全机构Brian Krebs在其关于Evernote突破口的博客中所指出的那样，供应商使用标准的散列和腌制算法来加密密码数据提供了可轻松破解的简单保护。

一种解决方案是使用更强密码或密码短语，并确保您对多个服务不使用相同的密码。当你这样做时，一个供应商的数据泄露可能会暴露你的密码，然后攻击者可以访问你的所有账户，而不是限制被破坏的账户的损害。

当然，记住数十或数百密码是一项艰巨的任务 - 特别是如果您使用强大而复杂的密码。我的个人电脑世界同行John Mello建议一些简化密码管理的选项，例如OneID，KeePass和RoboForm。

然而，Evernote hack的真正教训是密码不能为您的数据提供很好的保护。复杂的独特密码比使用狗的名字或根本没有密码提供了更好的保护，但是最终所有的密码都会被破解或猜到，只要给予足够的时间和精力。

转向多因素认证

Evernote正在通过采用双因素认证加入Facebook，Dropbox，Microsoft SkyDrive，PayPal，Gmail和越来越多的在线服务提供商。

工作中双因素认证的示例

多因素认证提供额外的保护层来保护您的数据。例如，基于电话的身份验证可以显着提高安全性。当您尝试从您通常不使用的设备登录银行网站时，您可能会遇到提示进行基于电话的身份验证。

使用基于电话的身份验证，会发送随机或一次性代码移动电话，除了标准的用户名和密码之外，还必须输入。一些解决方案使用移动应用来生成一次性PIN。无论哪种方式，为了让攻击者访问帐户，他们必须破解密码并拥有手机。

除了基于电话的身份验证之外，还有许多其他选项，例如访问令牌，智能卡和电子邮件验证。确切的方法差别很大。无论实施如何，双因素身份验证都提供了额外的保护，因此Evernote应该受到赞扬。