Joanna Stern และ Nicole Nguyen จาก Wall Street Journal ได้เผยแพร่ บทความ (เพย์วอลล์) และ ประกอบ วิดีโอที่อธิบายถึงการโจมตีที่เป็นปัญหาซึ่งรายงานโดยบุคคลและหน่วยงานตำรวจที่มุ่งเป้าไปที่ผู้ใช้ iPhone ซึ่งอาจเกี่ยวข้องกับเหยื่อหลายแสนคนต่อปีในสหรัฐอเมริกา
ดูวิดีโอสั้นๆ ผู้ที่ไม่ทำดีให้ใครบางคนในบาร์เพื่อป้อนรหัสผ่าน iPhone ในขณะที่พวกเขาแอบสังเกต (หรือพันธมิตรทำเพื่อพวกเขา) จากนั้นโจรก็ขโมยไอโฟนและพุ่งออกไป ภายในไม่กี่นาที หัวขโมยใช้รหัสผ่านเพื่อเข้าถึง iPhone และเปลี่ยนรหัสผ่าน Apple ID ซึ่งทำให้พวกเขาปิดใช้ Find My, ซื้อสินค้าโดยใช้ Apple Pay, เข้าถึงรหัสผ่านที่จัดเก็บไว้ใน iCloud Keychain และสแกนผ่านรูปภาพเพื่อหา รูปภาพของเอกสารที่มีหมายเลขประกันสังคมหรือรายละเอียดอื่น ๆ ที่อาจใช้ในการระบุการโจรกรรม หลังจากนั้น พวกเขาอาจโอนเงินจากบัญชีธนาคาร สมัคร Apple Card และอื่นๆ อีกมากมาย ในขณะที่ผู้ใช้ถูกล็อกไม่ให้เข้าบัญชีของตนโดยสิ้นเชิง
และใช่ พวกเขาจะล้างข้อมูลและขาย iPhone ต่อด้วย แทบไม่มีการรายงานอาชญากรรมเช่นนี้โดยผู้ใช้ Android โดยเจ้าหน้าที่ตำรวจสันนิษฐานว่าเป็นเพราะมูลค่าการขายต่อของโทรศัพท์ Android ต่ำกว่า ในวิดีโอ โจแอนนา สเติร์นกล่าวว่าหัวขโมยที่ใช้รหัสผ่านของโทรศัพท์ Android สามารถขโมยข้อมูลประจำตัวและการเงินได้เช่นเดียวกัน
บทความใน Wall Street Journal ให้รายละเอียดเกี่ยวกับการโจมตี 3 ประเภท ซึ่งมีเพียงประเภทเดียวเท่านั้นที่ชัดเจน หลีกเลี่ยงได้ สิ่งที่เน้นย้ำอย่างมากในบทความที่ฉันอธิบายไว้ข้างต้น แต่สเติร์นและเหงียนยังได้พูดคุยกับเหยื่อที่ถูกมอมยาด้วย—ปัญหาทั่วไปที่น่าเศร้า—และสัมภาษณ์คนอื่นๆ ที่ถูกใช้ความรุนแรงเพื่อเปิดเผยรหัสของตน ไม่ว่าในกรณีใดผู้ที่ตกเป็นเหยื่อไม่ได้ทำอะไรผิด และใครก็ตามที่ไปบาร์หรือสถานที่ที่คล้ายกันในเขตเมืองเป็นประจำควรระวัง
จากการรายงานข่าวของ Wall Street Journal ที่มีรายละเอียดสูง ฉันคาดหวังอย่างเต็มที่ว่า Apple จะจัดการกับช่องโหว่นี้ได้ ใน iOS 17 หากไม่เคยมีมาก่อน วิธีแก้ไขที่ชัดเจนคือให้ผู้ใช้ป้อนรหัสผ่าน Apple ID ปัจจุบันก่อนที่จะอนุญาตให้เปลี่ยนได้ในการตั้งค่า > ชื่อของคุณ > รหัสผ่านและความปลอดภัย > เปลี่ยนรหัสผ่าน ซึ่งจะไม่บล็อกการเข้าถึงพวงกุญแจ iCloud แต่อย่างน้อยก็ช่วยให้ผู้ใช้ล้างข้อมูลใน iPhone ได้
Apple อาจไม่เคยถามรหัสผ่าน Apple ID ปัจจุบันมาก่อน เนื่องจากรหัสผ่านถือเป็น ปัจจัยที่สองที่ปลอดภัย คุณมี iPhone และคุณรู้รหัสผ่าน ในทางกลับกัน เมื่อคุณลงชื่อเข้าใช้ไซต์ Apple ID เพื่อจัดการบัญชีของคุณ คุณต้องระบุรหัสผ่านปัจจุบัน การรับรองความถูกต้องด้วยสองปัจจัย และป้อนรหัสผ่านปัจจุบันอีกครั้งเพื่อเปลี่ยน ดูเหมือนจะเป็นการเปลี่ยนแปลงที่ง่ายดาย อย่างน้อยก็จนกว่า Apple จะมีโอกาสพิจารณาตัวเลือกอื่นๆ ก่อน
ขั้นตอนรหัสผ่านเพิ่มเติมที่ใกล้เคียงที่สุดที่เราต้องดำเนินการคือ รหัสผ่านเวลาหน้าจอ หากคุณเปิดใช้งานเวลาหน้าจอ ให้ตั้งรหัสผ่านเวลาหน้าจอสี่หลักแยกต่างหาก เปิดการจำกัดเนื้อหาและความเป็นส่วนตัว แล้วเลือกการเปลี่ยนแปลงบัญชี > ไม่อนุญาต จะไม่มีใครสามารถเปลี่ยนรหัสผ่าน Apple ID ของคุณหากไม่มีรหัสผ่านนั้น น่าเสียดายที่มันป้องกันไม่ให้คุณเข้าสู่การตั้งค่า > ชื่อของคุณ โดยไม่ต้องไปที่การตั้งค่า > เวลาหน้าจอ > ข้อ จำกัด ของเนื้อหาและความเป็นส่วนตัว > การเปลี่ยนแปลงบัญชี > #### > อนุญาต คนส่วนใหญ่ไม่ทนกับความเร็วที่พุ่งสูงขึ้นเช่นนี้
ข้อบกพร่องอีกประการที่สเติร์นและเหงียนทราบคือตัวเลือกคีย์ความปลอดภัยฮาร์ดแวร์ใหม่ของ Apple หากเปิดใช้งานจะไม่เป็นเช่นนั้นเสมอไป พร้อมท์ให้ใส่คีย์ฮาร์ดแวร์เมื่อทำการเปลี่ยนแปลงหากผู้ใช้มีรหัสผ่านของอุปกรณ์ (ดู “Apple Releases iOS 16.3, iPadOS 16.3 และ macOS 13.2 Ventura with Hardware Security Key Support,” 23 มกราคม 2023) การป้องกันคีย์ความปลอดภัยสามารถลบออกทั้งหมดได้เช่นกัน โดยไม่ต้องมีคีย์ฮาร์ดแวร์ตัวใดตัวหนึ่ง Apple ควรประเมินใหม่ว่าตัวเลือกที่มีความปลอดภัยสูงนี้—แม้ว่าจะมีผู้ใช้เพียงไม่กี่คนเท่านั้นที่จะใช้—เป็นไปตามคำมั่นสัญญา
วิธีป้องกันตัวเอง
คุณอาจคิดว่า จะไม่มีวันตกเป็นเหยื่อของการขโมยนาฬิกา การถูกมอมยาที่บาร์หรือการออกเดท หรืออาชญากรรมรุนแรง แต่การขโมยรหัสผ่านอาจเกิดขึ้นได้ในกรณีอื่นๆ และมันส่งผลร้ายแรงดังที่นักข่าวของ Wall Street Journal ตั้งข้อสังเกตว่าแม้ว่าคุณจะไม่ใช่แมลงวันทองหรืออาศัยอยู่ในพื้นที่ที่มีการขโมยทรัพย์สินอย่างรุนแรง แต่ฉันคิดว่าทุกคนควรพิจารณาวิธีการเหล่านี้เพื่อป้องกันมิจฉาชีพ การใช้รหัสผ่าน:
ใส่ใจกับความปลอดภัยทางกายภาพของ iPhone ของคุณในที่สาธารณะ การโจมตีเหล่านี้ต้องการทั้งรหัสผ่านและการครอบครอง iPhone ของคุณ พวกเราหลายคนกลายเป็นคนตำหนิเกี่ยวกับการเปิดเผย iPhone ของเราในที่สาธารณะเนื่องจากเราใช้อย่างต่อเนื่องและเพราะทุกคนมีสมาร์ทโฟนเช่นกัน Apple ยังทำงานได้อย่างยอดเยี่ยมด้วยข้อความว่า iPhone นั้นไร้ประโยชน์สำหรับขโมย เนื่องจากมีรหัสผ่านป้องกันเนื้อหาและ Activation Lock ทำให้มั่นใจได้ว่าจะไม่สามารถขายต่อได้—นี่อาจทำให้เรากังวลเกี่ยวกับความปลอดภัยของมันน้อยลง แม้ว่าจะมี ความยุ่งยากและค่าใช้จ่ายในการเปลี่ยน ไม่มีวิธีที่ดีในการป้องกันไม่ให้ขโมยคว้า iPhone จากมือคุณเมื่อคุณใช้งาน แต่ถ้าคุณเก็บมันไว้ในกระเป๋าเสื้อหรือกระเป๋าเงินเมื่อไม่ได้ใช้งาน แทนที่จะถือหรือวางทิ้งไว้บนโต๊ะ ต่อหน้าคุณซึ่งช่วยลดโอกาสที่ขโมยจะกำหนดเป้าหมายคุณ ใช้ Face ID หรือ Touch ID ในที่สาธารณะเสมอ กุญแจสำคัญในการโจมตีเหล่านี้คือการได้รับรหัสผ่านของผู้ใช้ วิธีง่ายๆ คือการสังเกตหรือบันทึกว่าคุณเข้ามา หากคุณใช้ Face ID หรือ Touch ID ทั้งหมด โดยเฉพาะอย่างยิ่งเมื่ออยู่ในที่สาธารณะ จะไม่มีใครสามารถขโมยรหัสผ่านของคุณโดยที่คุณไม่รู้ (ตำรวจเชื่อว่าผู้ที่ถูกมอมยาขณะดื่มเหล้าจะใช้ใบหน้าหรือนิ้วของพวกเขา แต่นั่นไม่ได้เปิดเผยรหัสผ่าน) หากคุณหลีกเลี่ยง Face ID หรือ Touch ID ตามความเชื่อที่ผิดเกี่ยวกับความปลอดภัยของข้อมูลไบโอเมตริกซ์ของคุณ ขอร้องให้คุณใช้มัน ข้อมูลลายนิ้วมือหรือใบหน้าของคุณ ใน Secure Enclave ซึ่งมีอีกมากมาย ปลอดภัยกว่าการป้อนรหัสผ่านในเกือบทุกสถานการณ์ หากคุณเป็นหนึ่งในไม่กี่คนที่ Face ID หรือ Touch ID ใช้งานได้ไม่ดี ให้ปกปิดรหัสผ่านของคุณไม่ให้ใครก็ตามที่อาจแอบดูอยู่ เหมือนกับที่คุณทำเมื่อป้อน PIN ที่ตู้ ATM พิจารณารหัสผ่านที่รัดกุม: ตามค่าเริ่มต้น รหัสผ่าน iPhone จะเป็นตัวเลขหกหลัก คุณสามารถดาวน์เกรดเป็นตัวเลขสี่หลักซึ่งเป็นความคิดที่ไม่ดี แต่คุณสามารถอัปเกรดเป็นรหัสผ่านแบบตัวอักษรและตัวเลขที่ยาวขึ้นได้ ในวิดีโอ โจแอนนา สเติร์นแนะนำอย่างนั้น และอาจทำให้ใครก็ตามแอบสังเกตได้ยากขึ้น แต่ฉันไม่มั่นใจว่าการรักษาความปลอดภัยที่เพิ่มขึ้นจะคุ้มค่ากับความพยายามที่เพิ่มขึ้น บางคนยังสามารถบันทึกการป้อนรหัสผ่านที่เป็นตัวอักษรและตัวเลขของคุณได้ และยิ่งป้อนนานและยากขึ้นเท่าใด ก็จะยิ่งใช้เวลามากขึ้นเท่านั้น และคุณก็จะยิ่งมีสมาธิกับการพิมพ์ให้ถูกต้องมากขึ้นเท่านั้น ทำให้คุณตระหนักถึงสิ่งรอบข้างน้อยลง (ที่น่าสนใจคือ หากคุณตั้งรหัสผ่านที่เป็นตัวอักษรและตัวเลขโดยมีเพียงตัวเลข คุณจะยังคงได้รับแป้นตัวเลขเพื่อป้อนรหัสนั้น ในขณะที่หากคุณเพิ่มอักขระที่ไม่ใช่ตัวเลข คุณจะต้องใช้แป้นพิมพ์แบบเต็ม) ถึงกระนั้น ฉันก็แนะนำคนส่วนใหญ่ไม่ได้ ก้าวข้ามรหัสผ่านหกหลักมาตรฐาน ตรวจสอบให้แน่ใจว่าไม่ใช่สิ่งที่สังเกตหรือเดาได้ง่ายๆ เช่น 111111 หรือ 123456
อย่าเปิดเผยรหัสผ่านของคุณเกินสมาชิกครอบครัวที่เชื่อถือได้ หากคุณไม่ต้องการให้ใครเข้าถึงบัญชีธนาคารของคุณได้อย่างสมบูรณ์ อย่าให้รหัสผ่านแก่พวกเขา หากสถานการณ์รุนแรงทำให้คุณต้องไว้ใจคนที่อยู่นอกแวดวงนั้นเป็นการชั่วคราว ให้เปลี่ยนรหัสผ่านเป็นรหัสง่ายๆ ที่พวกเขาจะจำ—แม้แต่ 123456—และเปลี่ยนกลับทันทีที่พวกเขาคืน iPhone ของคุณ ใช้เครื่องมือจัดการรหัสผ่านของบริษัทอื่นแทนพวงกุญแจ iCloud ฉันรู้สึกลำบากใจที่จะแนะนำตัวเลือกนี้เพราะ Apple ปรับปรุงอินเทอร์เฟซเป็นพวงกุญแจ iCloud ด้วยการตั้งค่า > รหัสผ่านและการตั้งค่า/การตั้งค่าระบบ > รหัสผ่าน แต่จนกว่าระบบปฏิบัติการจะปกป้องการเข้าถึงรหัสผ่านพวงกุญแจ iCloud ด้วยรหัสมากกว่ารหัสผ่าน การพึ่งพาพวงกุญแจ iCloud นั้นไม่ปลอดภัยเพียงพอ ในทางตรงกันข้าม ผู้จัดการรหัสผ่านบุคคลที่สามจะรักษาความปลอดภัยรหัสผ่านของคุณด้วยรหัสผ่านแยกต่างหาก แม้ว่าจะรองรับและคุณเปิดใช้การปลดล็อกด้วยไบโอเมตริก แต่ทางเลือกสำรองคือรหัสผ่านบัญชีของผู้จัดการรหัสผ่าน ไม่ใช่รหัสผ่านของอุปกรณ์
ลบรูปภาพที่มี SSN หรือหมายเลขประจำตัวอื่นๆ เป็นเรื่องปกติที่จะถ่ายรูปบัตรประกันสังคม ใบขับขี่ หรือหนังสือเดินทางไว้สำรอง เผื่อในกรณีที่คุณทำของจริงหาย นั่นไม่ใช่ความคิดที่ดี แต่การจัดเก็บรูปภาพดังกล่าวใน Photos ทำให้พวกเขาเสี่ยงต่อการถูกโจมตีเหล่านี้ ให้เก็บไว้ในตัวจัดการรหัสผ่านแทน ค้นหาในรูปภาพบน SSN, TIN, EIN, ใบขับขี่ และหนังสือเดินทาง พร้อมด้วยหมายเลขประกันสังคมจริงและหมายเลขประจำตัวอื่นๆ ค้นหาด้วย Visa, MasterCard, Discover, American Express และชื่อบัตรเครดิตอื่นๆ ที่คุณอาจบันทึกไว้เป็นข้อมูลสำรอง (การค้นหาข้อความใน Photos ใช้งานได้ใน macOS 13 Ventura และ iOS 16 สำหรับระบบปฏิบัติการเวอร์ชันเก่า ให้ลอง ค้นหารูปภาพ ดู “ทำงานกับข้อความในรูปภาพด้วย TextSniper และ Photos Search” 23 สิงหาคม 2021)
คำตอบของฉัน
ฉันใช้เวลาอยู่กับปาก แม้ว่าฉันจะมีความเสี่ยงต่ำมากสำหรับการโจมตีเหล่านี้ ซึ่งมุ่งเป้าไปที่นักดื่มบาร์ในเมืองใหญ่และผู้คนในพื้นที่ที่มีอาชญากรรมบนท้องถนนเป็นประจำ ฉันได้ดำเนินการเพื่อลดความเสี่ยง
ประการแรก ฉันพึ่งพา Face ID อยู่แล้วทุกครั้งที่ทำได้ และฉันจะยิ่งรู้ว่าใครกำลังดูอยู่ขณะป้อนรหัสผ่าน หาก Face ID ล้มเหลว และฉันถูกบังคับให้แตะตัวเลขลับของฉัน ฉันรู้สึกเขินอายเล็กน้อยอยู่แล้วที่จะนำ iPhone ของฉันออกมาใช้เมื่อไม่ได้ใช้งานในที่สาธารณะ และฉันคงจะเก็บมันไว้ในกระเป๋ามากกว่าที่เคย
ประการที่สอง ฉันตัดสินใจล้างรหัสผ่านที่เก็บไว้พวงกุญแจ iCloud ทั้งหมด บน MacBook Air ของฉัน ฉันไปที่การตั้งค่าระบบ > รหัสผ่าน เลือกทั้งหมดแล้วกดลบ (คุณสามารถทำได้ในบานหน้าต่างการตั้งค่ารหัสผ่านของ Safari ด้วย) เนื่องจากฉันไม่เคยใช้พวงกุญแจ iCloud อย่างจริงจังมาก่อน จึงไม่ใช่เรื่องยาก เพราะทุกอย่างในนั้นเป็นการสุ่ม จนกระทั่งเมื่อไม่นานมานี้ ฉันใช้ LastPass แต่หลังจากการละเมิดของ LastPass ฉันเปลี่ยนไปใช้ 1Password และนำเข้ารหัสผ่าน LastPass ทั้งหมดของฉัน (โปรดดู “LastPass Shares Details of Security Breach,” 24 ธันวาคม 2022) ฉันมีรหัสผ่านจำนวนมากที่เก็บไว้ใน 1Password จากการนำเข้าและการทดสอบต่างๆ ในช่วงหลายปีที่ผ่านมา รวมถึงห้องนิรภัยที่ฉันแชร์กับ Tonya และ Tristan เมื่อใดก็ตามที่ฉันใช้รหัสผ่านตอนนี้ ฉันจะใช้เวลาสองสามนาทีเพื่อล้างข้อมูลที่ซ้ำกันและปัญหาที่เกี่ยวข้อง เช่น รหัสผ่านที่สร้างโดยอัตโนมัติที่เหลือ
ฉันรู้ว่าผู้ที่ใช้พวงกุญแจ iCloud จะไม่สบายใจที่จะลบรหัสผ่านของตน แต่ ฉันสามารถพูดได้ว่าฉันพบว่ามันง่ายมากที่จะเปลี่ยนจาก LastPass เป็น 1Password และ 1Password มีคำแนะนำสำหรับการส่งออกรหัสผ่านพวงกุญแจ iCloud และนำเข้าสู่ 1Password. ทำการส่งออก/นำเข้าและใช้งาน 1Password—หรือเครื่องมือจัดการรหัสผ่านใดก็ตามที่คุณเลือก—เป็นเวลาหนึ่งหรือสองสัปดาห์เพื่อให้แน่ใจว่ามันใช้งานได้สำหรับคุณก่อนที่จะลบทุกอย่างออกจากพวงกุญแจ iCloud หากคุณตัดสินใจกลับไปใช้พวงกุญแจ iCloud ในอนาคต ก็ก็เป็นไปได้เช่นกัน
ประการที่สาม ฉันเรียกดูด้วยสายตาและใช้การค้นหาข้อความในคลังรูปภาพของฉันเพื่อหาบัตรประจำตัวและสิ่งอื่นๆ ที่คล้ายคลึงกัน ส่งออกบางส่วนเพื่อนำเข้าสู่ 1Password และลบทุกอย่างในภายหลัง (โปรดจำไว้ว่า Photos จะเก็บภาพที่ถูกลบไว้ในอัลบั้มที่เพิ่งลบล่าสุดเป็นเวลาประมาณ 30 วันก่อนที่จะลบอย่างถาวร หากต้องการลบทันที ให้เลือกรูปภาพในอัลบั้มนั้นแล้วกด Delete) ฉันพบใบขับขี่ หนังสือเดินทาง บัตรเครดิต บัตรประกัน , และบัตรอื่นๆ จากกระเป๋าเงินของฉัน ตรวจสอบให้แน่ใจว่าได้คลิก ดูทั้งหมด หลังจากค้นหารูปภาพแล้ว หากผลการค้นหามีมากกว่าไม่กี่รายการ ฉันยังค้นหาในการ์ดและเลื่อนดูรูปภาพแปลก ๆ กว่า 500 รูปเพื่อหาบางรูปที่รอดพ้นจากการค้นหาอื่น ๆ (ใครจะรู้ว่าฉันถ่ายภาพจำนวนมากที่มีกระดาษแข็ง)
ฉันคิดชั่วครู่ว่าจะย้ายภาพที่ละเอียดอ่อนเหล่านั้นไปยังอัลบั้มที่ซ่อนอยู่ในแอพรูปภาพ และใช้ตัวเลือกใหม่ของ iOS 16/Ventura เพื่อปกป้องอัลบั้มนั้นด้วย Face ID หรือ Touch รหัส น่าเสียดายที่เมื่อฉันทดสอบ Face ID หลายครั้งบน iPhone ของฉันล้มเหลว ในที่สุดฉันก็ได้รับแจ้งให้ป้อนรหัสผ่าน ซึ่งเผยให้เห็นอัลบั้มที่ซ่อนอยู่ เป็นอีกตัวอย่างหนึ่งที่แสดงให้เห็นว่ารหัสผ่านเป็นกุญแจสู่อาณาจักรของคุณได้อย่างไร
แม้ว่าโอกาสที่บุคคลใดบุคคลหนึ่งจะตกเป็นเหยื่อของการโจมตีประเภทนี้มีน้อยมาก และฉันไม่ได้กังวลสำหรับตัวฉันเอง การรายงานของ Wall Street Journal ทำให้ฉันคิดและทำความสะอาดสมมติฐานและพฤติกรรมด้านความปลอดภัยในวงกว้างของฉัน ฉันชอบการสะกิดเตือนนี้ และขอแนะนำให้คุณพิจารณาสถานการณ์ด้านความปลอดภัยด้วย