http://www.seehand.com/evaluating/1179.html

2015.12.2

在线零售商亚马逊（Amazon）周二开始向部分用户发送邮件，提示他们重置密码，称他们可能已经被攻击。

Amazon告知用户称，在它获知用户暴露给第三方之后，决定强制重置这些用户的密码。Amazon发送的电子邮件还表示，尽管公司不清楚用户密码是否已被不适当地公开，但公司还是采取了该预警措施。

据报道，给用户的邮件写道：公司“最近发现您的密码被以不适当的方式储存于您的设备中，或密码传送给Amazon的方式可能会暴露给第三方。”该公司还在邮件里提到，该问题已经得到纠正，以防止进一步泄露。

Amazon并未公开与受影响用户数量有关的信息，但是似乎所有密码可能受影响的用户均受到了该事件相关的警告。那些没收到邮件的Amazon用户应该是安全的，但是他们重新设置密码也是一个好选择。

上述Amazon新闻发生于该公司在Amazon.com网站启用双重因素认证一周之后，双重认证可以给用户带来额外的账号保护。为了启用双重认证，用户需要登录账户，访问“高级账户设置”选项，该选项允许用户通过QR码将Amazon添加至两步认证APP，或者通过文本将认证码发送给用户。

尽管Amazon未详述本次泄漏的规模，但是似乎Amazon.com和Amazon.co.uk的用户可能都受到了影响。上述双重认证选项还未适用到英国的用户。

当公司相信账户受到攻击之后敦促用户重新设置密码的做法并非罕见。这些例子很多，Epic Games、ICANN.org、Hover和Twitch公司可以作为代表，他们最近在出现安全漏洞事件后要求用户重新设置密码。

尽管传统的用户名密码登录方式持续广泛地使用于网站、设备和应用，某些人还是相信需要更新的方式来实现认证。事实上，某些公司已经决定消除密码，包括Yahoo公司，该公司最近宣布允许用户通过名为“账户密钥”（Account Key）的流程进行登录，该流程包括发送用于确认登录的广本信息。

SecureAuth的CTO Keith Graham称，Amazon攻击事件表明，公司需要找到新的方法进行认证，超越传统的用户名密码策略。他还强制说，尽管出师不利，双重认证已开始证明其是近来的一项好技术。

“自适应认证发展已经向市场带来了许多选择，通过多层次的方法（例如设备识别、用户地理位置分析，或者甚至使用行为生物统计学来不断验证终端用户的真实身份）帮助用户既保持安全，也保持生产力。通过多层次的认证技术，诸如Amazon的公司可以针对网络敌人进一步加强防御。”Graham说道。

他还提到受本次密码重置影响的Amazon用户应对身份的保护变得警惕并更具前瞻性，那些仅仅要想办法改进个人网络安全状况的用户也应如此。“这包括在不同网站间避免使用相同密码，采取密码管理器来管理非常复杂的密码。有可能的话，在所有网站或支持该网站的基于web的应用上启用双重因素认证也是很明智的做法。”他进一步补充说。

ForgeRock公司的战备和市场部VP Daniel Raskin称，该Amazon的新闻表明为何最近总是有关于密码终结的争论。他还解释称，公司和用户需要新的安全途径，而不是在已经被攻击后才评估风险。

“当你已经在某个系统中后你有能力不断分析某人的真实性，那么你可以提供一个安全性高的环境，同时向终端用户保持易用性。尤其是在物联网将带来成万上亿的新设备、新服务和新在线APP的情形下，当用户在你家里时持续监视和认证用户的能力将来会成为真正的企业优势。”Raskin说道。

[课程]Android-CTF解题方法汇总！