如何保護你的數據不被盜——以iPhone為例（華爾街日報）

我們的手機是通往一切重要事物的門户——最敏感的通訊、畢生積蓄、珍貴照片。你會以為這些信息會被比四位數或六位數密碼更復雜的保護措施所守護。

然而，正如我們報道的，全國各地的竊賊正在竊取iPhone及其密碼。他們獲取了一切：銀行應用中的現金、通過蘋果 支付等方式訪問信用卡。

同樣的密碼還讓這些竊賊能夠將用户鎖在自己的蘋果賬户之外。多年的照片、筆記和來自親人的信息？全部消失。這讓我們思考，我們真的應該將所有數據都託付給一家大型科技公司嗎？

“我們對有這種經歷的用户表示同情，我們對所有針對用户的攻擊都非常重視，無論多麼罕見，”蘋果公司的一位女發言人表示，並補充説，公司認為這些攻擊並不常見，因為它們需要竊取設備和密碼。“我們將繼續加強保護措施，幫助確保用户賬户的安全，”她説。

我們長期以來一直在討論強而獨特的密碼的重要性，這些用於保護在線賬户的字母數字組合。但正是用於解鎖設備的短數字串密碼，帶來了獨特的漏洞。

即使是蘋果最近的升級也沒有解決這個問題。公司引入了使用硬件安全密鑰（小型USB加密狗）來保護蘋果ID的功能。在《華爾街日報》的測試中，安全密鑰並未阻止僅使用密碼進行的賬户更改，甚至可以使用密碼從賬户中移除安全密鑰。

在與那些因密碼被盜導致數字家園遭洗劫的受害者交談後，我們改變了保護和使用iPhone的方式。以下是您應採取的措施——以及蘋果公司可以採取的措施——來防範這類攻擊。

您應採取的措施

如果您認為"我已經使用面容ID所以很安全"，請三思。當面容ID或觸控ID失效時——或當iPhone重啓時——手機會要求輸入密碼。

這不僅適用於解鎖設備，也適用於授權Apple Pay、打開iCloud鑰匙串密碼管理器等場景。密碼還能讓您更改Apple ID密碼。

（竊賊同樣可以利用密碼獲取安卓手機的類似權限，但據我們採訪的執法人員稱，犯罪分子主要針對iPhone，因其轉售價值更高。）

您無法完全避免設備被盜，但可以增加竊賊訪問設備數據的難度。

**• 在公共場合遮擋屏幕。**據執法部門透露，竊賊會通過遠距離偷拍等狡猾手段竊取密碼。

外出時儘量使用面容ID或觸控ID，防止密碼被窺視。必須手動輸入時，請像對待ATM密碼一樣保護您的設備密碼。切勿在陌生人面前輸入。

• 強化密碼設置***。***喬治華盛頓大學計算機科學副教授亞當·阿維夫建議：至少使用六位數複雜密碼，杜絕"1-2-3-4"這類簡單組合，更長密碼能有效防範"肩窺"攻擊。

更長、更復雜的密碼更難被窺探。若想更改為包含數字和字母的密碼，請前往“設置”中的“面容ID與密碼”，然後選擇“更改密碼”。點擊“密碼選項”，再選擇“自定義字母數字密碼”。圖片説明：Nicole Nguyen/華爾街日報我們已切換至字母數字密碼：前往“設置”>“面容ID與密碼”>“更改密碼”。在設置新密碼時，點擊“密碼選項”>“自定義字母數字密碼”。

在“顯示與亮度”設置中，將“自動鎖定”設為最短的30秒，這樣您的手機就不會長時間處於未鎖定狀態。

**• 啓用額外保護。**某些應用如Venmo、PayPal和Cash App允許您添加密碼。只需確保不要使用與iPhone相同的密碼。

您還可以為自己設置“屏幕使用時間”密碼，然後啓用賬户限制以防止更改Apple ID密碼，就像家長對孩子設備所做的那樣。在“設置”中，前往“屏幕使用時間”>“內容與隱私限制”，然後開啓“內容與隱私限制”。如果尚未設置“屏幕使用時間”，您需要選擇一個密碼。（再次強調，確保它與您的iPhone密碼不同。）

向下滾動至“允許更改”部分，在“賬户更改”選項處選擇“不允許”。此後每當需要訪問iCloud賬户設置時，您必須前往“屏幕使用時間”重新啓用此功能。

**• 使用第三方密碼管理器。**雖然蘋果內置的iCloud鑰匙串密碼管理器很方便，但其中保存的密碼可通過設備密碼訪問——這成為竊賊獲取受害者iPhone上銀行賬户的途徑。您應當移除所有敏感密碼。

建議改用第三方密碼管理器（如1Password或Dashlane），它們支持生物識別認證，並在認證失敗時要求輸入獨立的主密碼。

**• 刪除敏感信息掃描件。**竊賊曾利用iPhone照片中的信息（包括包含社會安全號碼的表格）開通蘋果信用卡。在蘋果照片應用中搜索“護照”“駕照”“SSN”等關鍵詞檢查是否存在此類文件。如需保存敏感文檔電子版，請使用第三方密碼管理器中的安全文件存儲功能。

**• 若iPhone被盜請立即行動。**儘快在其他設備登錄iCloud.com，點擊“查找設備”遠程抹除手機數據。聯繫運營商或前往零售店停用被盜手機的SIM卡，防止竊賊接收驗證碼。登錄Google、Venmo、亞馬遜等重要賬户修改密碼，並撤銷被盜設備的訪問權限。

若iPhone被盜，您無需驗證碼即可遠程抹除設備。使用Apple ID賬號密碼登錄iCloud，當系統要求輸入驗證碼時點擊"查找設備"。圖片來源：Nicole Nguyen/華爾街日報### 蘋果可採取的改進措施

**• 允許用户添加額外Apple ID密碼保護。**iPhone系統目前不要求用户輸入舊密碼即可重置Apple ID密碼（該賬號可訪問所有蘋果服務）。通過要求額外PIN碼、歷史密碼或安全密鑰來保護Apple ID，可有效防止賬户被竊。同樣允許使用鎖屏密碼修改谷歌賬户密碼的安卓手機，也應提供額外保護措施。

**• 為iCloud鑰匙串增設密碼保護。**iPhone鎖屏密碼可解鎖內置密碼管理器中的所有憑證。若面容ID或觸控ID失效或被禁用，鑰匙串應要求輸入獨立密碼。

**• 防範賬户恢復功能被劫持。**部分受訪受害者因竊賊修改了備用電話號碼或啓用了恢復密鑰而無法找回iCloud賬户。谷歌允許賬户被盜用户通過歷史備用郵箱、電話號碼或賬户密碼驗證身份。蘋果應考慮採取類似措施，並接受包括政府簽發身份證件在內的其他身份證明。

是的，蘋果可以做得更多，但關鍵的一環仍在於我們自身：

“最重要的是提高警覺，”明尼阿波利斯市iPhone盜竊案首席調查官羅伯特·伊萊奇科警官表示，“人們常忘記手中握着的就是他們的整個人生。”他補充道，“若有人獲取了手機，他們能造成巨大破壞。”

圖片説明：ELENA SCOTTI/華爾街日報，KENNY WASSUS；ISTOCK*——欲獲取更多《華爾街日報》科技分析、評測、建議及頭條新聞，請訂閲我們的每週通訊。*

聯繫妮可·阮：[email protected]；喬安娜·斯特恩：[email protected]

本文發表於2023年2月25日印刷版，標題為《如何保護你的iPhone數據》。