详细了解热门信息、游戏技术、数字评价、科普心得,点击右上角关注我们
-
2013年,一家企业因为密码保护意识不高而遭受密码泄露的痛苦,整天在IT圈流传着决定更改企业所有密码的传说,包括所有路由器、服务器、数据库、ISP帐户、计算机、甚至语音邮件。
在这家企业大规模更改之后,众多业界巨头中的程序员便纷纷响应,包括三星、微软、宏碁等大厂。人们将每年的这一天——五月份第一个星期四称为世界密码日。
今天就是第八个世界密码日,尽管人们对于隐私越来越重视,但由于密码泄露导致的损失却进一步扩大。根据Juniper Research的调查,2011年,平均每次密码泄露上面的损失为550万美元,而到了2020年,平均损失额超过了1.5亿美元。
今天,小雷就借着世界密码日的机会,来给大家说一堂“密码课”。
糟糕的密码管理
让我们抛开密码的防护问题,首先要承认一点的是,我们很多人从一开始的密码编写就做得远远不到位。
首当其冲的问题就是密码设置过于简单。在2013年的世界密码日上,管理机构就公布了“最容易被攻破的密码清单”,123456、111111等“经典密码”赫然在目。
而糟糕的是,123456哪怕到今天,依然稳坐最简单密码的第一名,而其余的密码,也都是稍微尝试下,就可以轻松窃取的用户密码。
根据统计机构SplashData的估计,从一份包含500万个泄露的账号清单进行统计,仅“123456”就有3%的用户使用过,而前25名密码的总使用人数加起来超过10%,达到了50万人。
继密码设置过于简单的问题后,下一个致命要素则是同一密码多处使用。例如银行卡密码和手机解锁密码都是同样的六位数,所有网络账户都用同一套密码等。
这种密码设置的方式,很容易遭到黑客的“撞库”。黑客只需要拿到一个网站的用户账户和密码,就将其写入一个字典表中并上传到相关论坛。其他黑客就可以在其他网站上进行暴力试错,曾经iCloud的“艳照门”就是被部分黑客用其他网站泄露的密码“撞库”导致的。
在今年的3月份,新浪微博就被曝光有5.4亿用户数据泄露。在调查之后,新浪微博发布公告称,黑客不是通过攻破新浪数据库来进行信息窃取,而是用其它网站上的电话号码搜索+相同密码撞库来进行匹配。
个人隐私的双刃剑:电话号码
在日益严重的密码窃取事件中,电话号码成为了黑客们的新目标。尤其是通过电话号码登陆的社交类app,更是个人隐私泄露的重灾区,部分网站的密码找回机制,就能锁定用户的电话号码,你也可以在无良网站上很轻易地买到电话清单。电话号码本身的泄露问题已经很严重,垃圾短信、钓鱼网站就已经成为了现代生活的一大痼疾,但黑客能从电话上获取更多的信息。
在刚才微博的例子中,黑客所做的就是把用户的电话号码放到支付宝、QQ、微信等社交网站上进行搜索,得到用户的姓名、昵称等隐私信息,一个用户的完整生态就此建立。
通过上述两种方法,在互联网上其实已经可以初步搜索到用户的生活城市、工作职位以及个人履历。这种搜索手段被称为社会工程学(Social Engineering),通过合法手段,普通人就已经毫无隐私可言。而在暗网上,还有专门整理的社会工程学数据库,定位更加精准。
接下来,黑客会通过邮件、短信等方式来试图骗出你的密码。黑客知道了你的大致生活状态,你会很轻易地相信对方是来自某个权威机构。譬如你收到了一封名为“您的apple id已被锁定”钓鱼邮件,很多用户就会去虚假的苹果网站上上输入自己的账号和密码,黑客就会用它去撞库匹配。
但即便电话号码成为了如今数据的主要泄露方式,它依然是我们密码保障的重要一环。短信验证、双重登陆、密码找回都是重要的密码保护方式,我国的实名认证也必须需要电话号码,与其担心号码被不良商家贩卖,不如接受现实,构造一个难以被攻破的密码体系。
如何制造简单省事的安全密码
设置一套安全的密码,说起来容易做起来难。虽然手机上已经可以通过密码管理软件来云端存储,但人的记忆力才是用户最为信任的地方。对于习惯使用密码管理软件的同学们,小雷建议还是将备份抄写在笔记本上携带,防止遗忘,也可以用md2等加密算法进行加密。而对于习惯大脑记忆的同学们,小雷准备了一套完善的“密码分级”制度。
在设置密码的过程中,重要的一步就是为密码分级,那些小网站可以选择好记安全性偏低的密码,而重要账号则使用安全性偏高的密码。而邮箱作为接收网站验证、私人消费记录等重要场景,理应使用最复杂的密码来进行防护,并且要勤更换。
例如网易邮箱,就在今天特地发布了一个倡议,网易表示,尽管通过各种安全手段,网易邮箱每年阻挡各类攻击超过五十亿次,但使用同一套账号密码依然伴随着巨大的风险,倡议用户每年进行更换。为了让老用户更加快捷地更换密码,网易也特地提供了账号快捷入口,并建议用户完成手机绑定和二次验证。
在次一级的网站上,小雷建议可以使用通用密码+网站后缀的方式使用,例如微博,可以在常规密码之后加上weibo或者sina的后缀,常规密码则使用几个进行替换。我们之前说过,除非是定点爆破,否则黑客绝不会一个个用手打。这样即使密码丢失黑客利用脚本进行暴力匹配,放到其他网站上也过不去。
对于再次一级的网站,譬如一些用过就丢的资源站,小雷建议使用不常用的垃圾邮箱和通用的密码进行注册即可。通常可以使用一句话的缩写,或者古诗词的汉语拼音缩写进行注册。
在现代生活中,我们几乎很难拥有着绝对隐私,但我们也不能对自己的账户安全“彻底躺平”。当今的互联网生活中,依然只有密码才能让我们保持住最后一丝安全,大企业的硬件加密和软件防护都已经做得非常齐全。不要因为普通的“脚本小子”,就给自己糟糕的密码管理买单,要输,也要输给大企业和顶级黑客。
----------------------------------
点击文章顶部雷科技头像,私信回复“搞机”,即可获得玩机技能合集。
1.《你的密码已经多久没改了?那就在今天改掉吧》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《你的密码已经多久没改了?那就在今天改掉吧》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/3046851.html