为什么我的密码会被盗
12月21日,有黑客在网上公开了CSDN网站用户数据库,包括600余万个明文的注册邮箱帐号和密码。22日,网上曝出人人网、天涯 、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站也采用明文密码,用户数据资料被放到网上公开下载。泄密门持续发酵。据称京东商城、当当网等B2C电子商务网站均存在用户资料泄露的情况。支付宝、光大银行、交通银行也卷入了“泄密门”。
[常识]
首先,我们要懂得明文和密文是什么意思。这是指密码在数据库里的存放方式。在网站的数据库里面,如果用户输入什么就保存什么作为密码,那么就是明文密码。而如果使用其他方法保存和验证密码,就是密文密码。
按道理,网站不能保存明文密码。网站使用明文密码,有一个最直接的危害——任何有数据库访问权限的人都能够看到你的密码。这次有个段子,说CSDN泄密后,一个程序员发现自己暗恋的MM的密码正好是自己的电话,从而成就了一段佳缘。但是真实的世界里,使用明文密码代表攻击者也可以直接看到你的密码。
当网站使用的是密文密码的时候,即使数据库里面的用户数据不小心泄漏。攻击者是不能知道你的原始密码,并且用于攻击其他网站的。
那么,国内哪些网站是明文密码? 这个问题不重要,你的假定应该是,每个网站都是明文密码,怎么保证自己的安全。因为除非你很信任这个网站,否则它的保证没有什么效力。
[对策]
本质上,每个网站一个密码才是王道。不大容易造成互相影响。另一种方式,就是找一句自己喜欢的英文或者拼音,用首字母缩写,倒过来,然后其中一位改成大写,加一个数字和符号。例如I will be back,密码就可以变为4bbWi。
一次一密就安全了么?如果记不住密码呢?
是的,麻烦,非常麻烦,但是,只能说不实施一次一密肯定不安全。
就银行来说,还是相对安全的,不过你要确认银行有以下几个功能。多次登录失败警告功能,五次登录失败自动锁定账户,要隔天由本人解锁,解锁后最好强制更换密码。可以关闭网银和电话银行,不拿着本人身份证经过24小时以上申请不能打开。密码丢失需要一周以上的时间才允许重设。大额取款通知用户功能,最好还有通知后五分钟内电话冻结转移。不过似乎最后一个功能银行的工作机制不允许这么做。
听上去很麻烦?通常来说,越麻烦的银行越安全。以上功能都有了,并且使用了,那么银行本身而言,还是比较安全的。
另外,如果你用U盾,不要用水货版的。从基础的思路上说,不要把鸡蛋放到同一个篮子里面总是对的,不要把鸡蛋最多的那个篮子暴露在风险之下更是对的。
[后果]
这次的泄密事件会有什么具体影响? 一个很直观的解释——这个事情是会串的。对于某个人,你的密码(或者密码历史)万一是另一个网站的密码,那么攻击者立刻可以登录另一个网站。对于管理员而言则更加噩梦,万一某个网站的管理员在CSDN上有密码,这可能意味着,一次解密就是一堆网站的失守。
大量的用户验证信息在外面跑是什么概念?到处都是万能钥匙,并且有点技术的人由于拥有了密码字典,都掌握了制造万能钥匙的方式。
事实上,让用户来完成密码安全是笑话,但是,没有用户的安全意识,银行/网站再努力也没用。理论上,我们最好以侵犯信息安全去起诉泄密单位,而且应该索要巨额赔偿。但目前我们能做的只有用脚投票,放弃一些实在不安全的公司吧,并使用麻烦的密码方式。
页:
[1]