您的企業可能會面臨持續存在的安全問題，需要對網絡安全實踐進行重大改革。

開放式加密審計項目主管Kenn White在談到有關用戶名、密碼、電子郵件地址和更細粒度的信息的最新消息時說道“想Reddit這樣的高價值房產以一些家伙的移動電話號碼來確保無法使用。”

確實沒有bueno，雖然乍一看這種妥協似乎不會產生很大的影響，但是稍作考慮應該引起關注。想想看：2017年最流行的開放密碼是“123456”。網絡衛生問題很普遍，很多人不僅在過去11年中使用過相同密碼(Reddit的大部分拖鞋可以追溯到目前為止)，但他們繼續使用相同密碼來“保護”其他賬戶，這些人現在收到了損害。

更令人擔憂的是，黑客從2018年6月3日到6月17日竊取更改網站電子郵件摘要日志。無論黑客是對賬戶接管感興趣，還是對特定用戶的釣魚攻擊感興趣，電子郵件摘要都將

用戶名和電子郵件地址聯系在一起(另一個原因是，電子郵件是一種敏感的個人身份信息)。用戶名和電子郵件地址之間的鏈接提供了上下文中國的電子郵件，從而讓攻擊電子郵件成為可能，從一個被欺騙的Reddit賬戶以及主機其他攻擊載體。

但與許多黑客攻擊類似，這些攻擊也存在潛在的損害，更嚴重的威脅往往不像那些成為頭條新聞的東西那么明顯。

毫無疑問，Reddit上的攻擊擴大了暴露在攻擊之下的個人的可攻擊范圍。然而，更嚴重的問題是網站源代碼、配置文件和其他員工只能看到的記錄的暴露。如果黑客們有興趣在網站上建立一個永久的通道，并以此洞察特定的Reddit用戶，那么擁有這些信息可能會被證明是一種有效手段。

因為Reddit可能永遠不知道攻擊他們的黑客動機，他們現在mainline一個持續的安全問題，需要采取系統性的行動，以確保無論發生什么都不會打開另一個網絡協議的閘門。換句話說，他們將不得不改變網絡安全的方式。

正確的網絡安全

網絡安全是一種不完美的做法。攻擊成功的原因可能很復雜，但常常歸結為想象力的失敗。

說到網絡安全，沒有所謂的“防故障”。一個組織每天都可以從“get got”中得到喘息的機會，這是基于定期維護良好的網絡安全實踐——基于企業文化基礎的行為和心態，由一流專家實施。

當我們錯誤地稱自己的漏洞為“協議”，或者更簡單地說，“這就是我們做事的方式”時，妥協就會發生。

Riddit并不是唯一一個讓黑客難以侵入的網站，它為“正確”的黑客提供了一個機會。很難被擊中已經不夠好了。在網絡安全領域，完善的保護是暫時的，因為每一分鐘都是新的一天。

神奇思維的問題

Reddit被黑客攻擊，使用的是一種登錄認證類型，已知在妥協前兩年易受攻擊。任何人認為他們在這些條件下是完全安全的，這是一種神奇的思維方式。

黑客攻擊的目標是獲得Reddit授權的員工，他們的身份允許他們訪問敏感信息，而且還通過SMS傳輸雙因素身份驗證。這需要想象力。

雖然這種身份認證并不常見，但它使所謂的“SIM交換”攻擊成為可能，身份竊賊使用受害者的數據(通常是在黑暗的網絡上購買的)欺騙手機運營商將電話號碼轉移到罪犯擁有的設備上。這并不容易，但這是可能的，Reddit應該知道這一點，并有一個策略來防止它——這是他們明顯缺乏的。

為了讓facepalm更加強大，SMS雙因素認證的風險早在2016年就已為人所知，當時美國聯邦貿易委員會(Federal Trade commission)發布了一份有關這一趨勢的報告。

這里問題的癥結是一個古老的難題。你在便利和安全之間的界限是什么?

有一些認證應用(你可以在2017年的文章中讀到)，或者你可以使用物理認證來實現雙重保護。雖然使用它們并不像點擊一個能觸發發送到你手機的代碼的圖標那么容易，但這種便利性的喪失確實帶來了安全性的提高。

關鍵在于:為了滿足安全需求，發明了雙因素身份驗證。最嚴格的安全認證需要一些你知道的東西(密碼)，一些你擁有的東西(例如，你的手機，fob, USB設備)和一些你是(生物識別技術)。SMS雙因素身份驗證的問題在于，它并不完全依賴于您所擁有的東西，因為您在通過SMS發送的代碼到達您的設備之前，并沒有“擁有”通過SMS發送的代碼的傳輸，而sim -swap意味著您不能總是確定這會發生。

不幸的是，這個解決方案并不方便。你必須比那些試圖傷害你的人領先一步。這需要大量的超級不容易的工作，持續的警惕，而且，由于漏洞是當今生活的第三個確定因素，一些好運。