如何保护你的数据不被盗——以iPhone为例（华尔街日报）

我们的手机是通往一切重要事物的门户——最敏感的通讯、毕生积蓄、珍贵照片。你会以为这些信息会被比四位数或六位数密码更复杂的保护措施所守护。

然而，正如我们报道的，全国各地的窃贼正在窃取iPhone及其密码。他们获取了一切：银行应用中的现金、通过苹果 支付等方式访问信用卡。

同样的密码还让这些窃贼能够将用户锁在自己的苹果账户之外。多年的照片、笔记和来自亲人的信息？全部消失。这让我们思考，我们真的应该将所有数据都托付给一家大型科技公司吗？

“我们对有这种经历的用户表示同情，我们对所有针对用户的攻击都非常重视，无论多么罕见，”苹果公司的一位女发言人表示，并补充说，公司认为这些攻击并不常见，因为它们需要窃取设备和密码。“我们将继续加强保护措施，帮助确保用户账户的安全，”她说。

我们长期以来一直在讨论强而独特的密码的重要性，这些用于保护在线账户的字母数字组合。但正是用于解锁设备的短数字串密码，带来了独特的漏洞。

即使是苹果最近的升级也没有解决这个问题。公司引入了使用硬件安全密钥（小型USB加密狗）来保护苹果ID的功能。在《华尔街日报》的测试中，安全密钥并未阻止仅使用密码进行的账户更改，甚至可以使用密码从账户中移除安全密钥。

在与那些因密码被盗导致数字家园遭洗劫的受害者交谈后，我们改变了保护和使用iPhone的方式。以下是您应采取的措施——以及苹果公司可以采取的措施——来防范这类攻击。

您应采取的措施

如果您认为"我已经使用面容ID所以很安全"，请三思。当面容ID或触控ID失效时——或当iPhone重启时——手机会要求输入密码。

这不仅适用于解锁设备，也适用于授权Apple Pay、打开iCloud钥匙串密码管理器等场景。密码还能让您更改Apple ID密码。

（窃贼同样可以利用密码获取安卓手机的类似权限，但据我们采访的执法人员称，犯罪分子主要针对iPhone，因其转售价值更高。）

您无法完全避免设备被盗，但可以增加窃贼访问设备数据的难度。

**• 在公共场合遮挡屏幕。**据执法部门透露，窃贼会通过远距离偷拍等狡猾手段窃取密码。

外出时尽量使用面容ID或触控ID，防止密码被窥视。必须手动输入时，请像对待ATM密码一样保护您的设备密码。切勿在陌生人面前输入。

• 强化密码设置***。***乔治华盛顿大学计算机科学副教授亚当·阿维夫建议：至少使用六位数复杂密码，杜绝"1-2-3-4"这类简单组合，更长密码能有效防范"肩窥"攻击。

更长、更复杂的密码更难被窥探。若想更改为包含数字和字母的密码，请前往“设置”中的“面容ID与密码”，然后选择“更改密码”。点击“密码选项”，再选择“自定义字母数字密码”。图片说明：Nicole Nguyen/华尔街日报我们已切换至字母数字密码：前往“设置”>“面容ID与密码”>“更改密码”。在设置新密码时，点击“密码选项”>“自定义字母数字密码”。

在“显示与亮度”设置中，将“自动锁定”设为最短的30秒，这样您的手机就不会长时间处于未锁定状态。

**• 启用额外保护。**某些应用如Venmo、PayPal和Cash App允许您添加密码。只需确保不要使用与iPhone相同的密码。

您还可以为自己设置“屏幕使用时间”密码，然后启用账户限制以防止更改Apple ID密码，就像家长对孩子设备所做的那样。在“设置”中，前往“屏幕使用时间”>“内容与隐私限制”，然后开启“内容与隐私限制”。如果尚未设置“屏幕使用时间”，您需要选择一个密码。（再次强调，确保它与您的iPhone密码不同。）

向下滚动至“允许更改”部分，在“账户更改”选项处选择“不允许”。此后每当需要访问iCloud账户设置时，您必须前往“屏幕使用时间”重新启用此功能。

**• 使用第三方密码管理器。**虽然苹果内置的iCloud钥匙串密码管理器很方便，但其中保存的密码可通过设备密码访问——这成为窃贼获取受害者iPhone上银行账户的途径。您应当移除所有敏感密码。

建议改用第三方密码管理器（如1Password或Dashlane），它们支持生物识别认证，并在认证失败时要求输入独立的主密码。

**• 删除敏感信息扫描件。**窃贼曾利用iPhone照片中的信息（包括包含社会安全号码的表格）开通苹果信用卡。在苹果照片应用中搜索“护照”“驾照”“SSN”等关键词检查是否存在此类文件。如需保存敏感文档电子版，请使用第三方密码管理器中的安全文件存储功能。

**• 若iPhone被盗请立即行动。**尽快在其他设备登录iCloud.com，点击“查找设备”远程抹除手机数据。联系运营商或前往零售店停用被盗手机的SIM卡，防止窃贼接收验证码。登录Google、Venmo、亚马逊等重要账户修改密码，并撤销被盗设备的访问权限。

若iPhone被盗，您无需验证码即可远程抹除设备。使用Apple ID账号密码登录iCloud，当系统要求输入验证码时点击"查找设备"。图片来源：Nicole Nguyen/华尔街日报### 苹果可采取的改进措施

**• 允许用户添加额外Apple ID密码保护。**iPhone系统目前不要求用户输入旧密码即可重置Apple ID密码（该账号可访问所有苹果服务）。通过要求额外PIN码、历史密码或安全密钥来保护Apple ID，可有效防止账户被窃。同样允许使用锁屏密码修改谷歌账户密码的安卓手机，也应提供额外保护措施。

**• 为iCloud钥匙串增设密码保护。**iPhone锁屏密码可解锁内置密码管理器中的所有凭证。若面容ID或触控ID失效或被禁用，钥匙串应要求输入独立密码。

**• 防范账户恢复功能被劫持。**部分受访受害者因窃贼修改了备用电话号码或启用了恢复密钥而无法找回iCloud账户。谷歌允许账户被盗用户通过历史备用邮箱、电话号码或账户密码验证身份。苹果应考虑采取类似措施，并接受包括政府签发身份证件在内的其他身份证明。

是的，苹果可以做得更多，但关键的一环仍在于我们自身：

“最重要的是提高警觉，”明尼阿波利斯市iPhone盗窃案首席调查官罗伯特·伊莱奇科警官表示，“人们常忘记手中握着的就是他们的整个人生。”他补充道，“若有人获取了手机，他们能造成巨大破坏。”

图片说明：ELENA SCOTTI/华尔街日报，KENNY WASSUS；ISTOCK*——欲获取更多《华尔街日报》科技分析、评测、建议及头条新闻，请订阅我们的每周通讯。*

联系妮可·阮：[email protected]；乔安娜·斯特恩：[email protected]

本文发表于2023年2月25日印刷版，标题为《如何保护你的iPhone数据》。