01 双因素认证，化解密码安全的危机

詹妮弗·劳伦斯（Jennifer Lawrence）度过了一个艰难的周末。2014年的一个早上，这位奥斯卡金像奖得主与其他一些名人醒来后发现，他们最私密的照片正在互联网上掀起轩然大波，其中很多是裸体照片。

现在，花点时间回想一下当前保存在你的计算机、手机和电子邮件里的照片。当然，其中很多都是完全无害的。就算全世界都看到你那些日落照片、可爱的家庭快照和头发乱糟糟的滑稽自拍，对你来说也无关紧要。但你愿意分享你所有的照片吗？如果这些照片突然全都出现在网上，你会怎么想？所有照片都记录了我们的私密瞬间。我们应该能够决定是否、何时以及怎样分享它们，而云服务并不一定总是我们的最佳选择。

2014年那个漫长的周末，媒体上充斥着詹妮弗·劳伦斯的故事。这是被称为“theFappening”的巨大泄露事件的一部分。在这一事件中，蕾哈娜（Robyn Rihanna Fenty）、凯特·阿普顿（Kate Upton）、凯莉·库柯（Kaley Cuoco）、阿德里安妮·库瑞（Adrianne Curry）及其他近300位名人的私密照片被泄露。这些名人中大多是女性，她们的手机照片通过某种方式被人获取并共享出来。可以预见，尽管有些人会对查阅这些照片感兴趣，但对更多人来说，这是一个让人不安的警示，因为这样的事情也可能会发生在他们身上。

那些人究竟是如何获得了詹妮弗·劳伦斯等人的私密照片呢？

这些名人都使用iPhone手机，人们最早的猜测集中于一次大规模数据泄露，这次泄露影响到了苹果公司的iCloud服务，而iCloud是iPhone用户的一个云存储选择。当你的物理设备存储空间不足时，你的照片、新文件、音乐和游戏都会被储存到苹果的服务器上，而且通常只需要少量月费。谷歌也为安卓系统提供了类似的服务。

几乎从来不在媒体上评论安全问题的苹果公司否认这是他们的错误。苹果公司发表了一份声明，称该事件是一次“对用户名、密码和安全问题非常有针对性的攻击”，该声明还补充说“在我们调查过的案例中，没有一项是由苹果系统（包括iCloud和‘查找我的iPhone’）的任何漏洞导致的”。

这些照片最早出现在一个以发布被泄露照片而出名的黑客论坛上。在那个论坛上，你可以看到用户在活跃地讨论用于暗中获取这些照片的数字取证工具。研究者、调查者和执法人员会使用这些工具从联网设备或云端获取数据，这通常发生在一场犯罪之后。当然，这些工具也有其他用途。

手机密码破解软件（Elcomsoft Phone Password Breaker，简称EPPB）是该论坛中被公开讨论的工具之一，该工具的目的是让执法机构和某些其他机构可以进入iPhone用户的iCloud账号。而现在，该软件正在公开销售。这只是论坛中的众多工具之一，似乎也是最受欢迎的一个。EPPB需要用户首先拥有目标iCloud账号的用户名和密码信息。但对使用这个论坛的人来说，获取iCloud用户名和密码并不是什么难事。在2014年的那个周末就发生了这种事，某人在一家流行的在线代码托管库（Github）上发布了一个名叫iBrute的工具——这是一种专为获取iCloud凭证而设计的密码破解系统，几乎可以用在任何人身上。

同时使用iBrute和EPPB，就可以冒充受害者本人将其所有云存储的iPhone数据全部备份下载到另一台设备上。这种功能是有用处的，比如当你升级你的手机时。但这个功能对攻击者也很有价值，他们可以借此查看你在你的移动设备上做过的一切。这会比仅仅登录受害者的iCloud账号提供更多的信息。

取证顾问和安全研究者乔纳森·扎德尔斯基（Jonathan Zdziarski）告诉《连线》杂志，他对凯特·阿普顿等人泄露的照片进行了检查，结果与使用了iBrute和EPPB的情况一致。取得用于恢复iPhone的备份能给攻击者提供大量个人信息，这些信息之后可能会被用于敲诈勒索。

2016年10月，36岁的宾夕法尼亚州兰开斯特人瑞安·柯林斯（Ryan Collins）因“未经授权访问受保护的计算机获取信息”被判处18个月监禁。他被控非法访问超过100个苹果和谷歌电子邮件账号。