goback add

再说密码安全:你准备好应对黑客入侵了吗?

2575 点击·0 回帖
灯火互联
灯火互联
楼主

关于密码学,本人是门外汉,不要和我说加密算法,这不是本文要关注的。关于如何在程序中实现用户密码的保护,这个也不是本文要写的,如何实现,这是程序猿的任务。

 
在各位继续往下看之前,在心里先默一下自己的密码管理习惯,问自己几个问题:

 
[pre]你在网上做什么?网上有多少个地方会找你要密码?你有多少个登录密码?你是否特别钟爱一个或几个密码,在很多服务中使用同样的密码?你知道别人有可能知道你的密码吗?[/pre]
 

 
有IT人士会说,不用太担心,这些网站会加密存储你的密码,密码算法是可靠的(常说的MD5),密码加密后的字串是不可逆的:即无法直接从MD5字串逆运算,得到你的密码明文。

 
理论上的确如此,但实际并非如此

 

图片:34_3710_0401b47a229ac9c.jpg


 
还可以在新浪微博找到专业人士的分析:

 

图片:34_3710_110dea44989c669.jpg


 
先想一下这个问题吧:中国有13亿人口,会有13亿个人名吗?答案肯定是“没有”,如果公安部公开户籍资料的一些统计数据,就能有非常具体的答案。我猜也许13亿中国人中,大概只有1亿个人名。在鄙司,有7个叫张伟的人,在我的座位前后,有两个叫陈浩(皓)的人。

 
回到密码,可以设想:你所使用的密码,可能别人正在用,或者曾经用过。密码和别人重复的概率是多少呢?

 
让我们先去访问一个网站:cmd5.com(特别提醒,请不要在这个网站输入你正在使用的任何密码验证,你并不在意的一个动作,会为这个数据库贡献一条记录)。

 

图片:34_3710_d8a82261223baf0.jpg


 
注意这里的文字说明:本站拥有全球最大的数据库,很多复杂密码只有本站才可破解,支持多种算法,实时查询记录超过7.8万亿条,共占用80T硬盘,成功率93%,一般的查询是免费的。对于本站数据库中不存在的记录,则自动进入后台分布式云破解,一屋子电脑协同计算,一天可破解1000万条,成功率98%。

 
这是一个在线的密码字典,可以通过这个网站查询密文所对应的明文字串。该网站的统计数字是93%的成功率,可以大致理解为,你所使用的密码与别人相重复的概率约93%。

 
你知道自己曾经使用过的服务被黑客攻击脱库吗?
脱库:这是黑话,意思是某个数据库被入侵,用户资料被黑客下载。

 
曾经有很多企业网站,包括非常著名的企业曾经被黑客脱库:

 
索尼,被入侵后7500万用户资料泄露;

 
韩国最大社交网站被黑 2500万用户资料泄露;

 
陕西某电信运营商,1400万手机用户资料被泄露(这是内鬼利用工作之便盗窃,和外部黑客攻击有区别);

 
微博传某连锁酒店被脱库,怀疑所有用户消费资料被盗;

 
微博传某团购网站被脱库,用户资料被盗或被转手倒卖;

 
团购网站倒闭,管理用户资料的员工或企业,他会销毁手里的用户资料,还是转卖?我不知道。

 
未公开或不便说的入侵事件更多:

 
众多论坛曾经被脱库,甚至管理员完全不知情……

 
上周在COG2011大会上,有人传说天涯社区被脱库

 

图片:34_3710_77012a0ab5a8744.jpg


 
也有人说某微博一样被脱了,微博有上亿用户。

 

图片:34_3710_ccb2301bd285494.jpg


 
你会用一把钥匙开所有的门吗?

 
回忆一下,你正在使用的服务有多少,也许你没有数过,大致列举一下吧:
qq,微博,若干个邮箱,企业OA系统,淘宝、支付宝、当当、京东等在线商店,网银(若干张卡、手机银行),还有其他一些网站,有时很久不去,帐号密码全不记得。

 
太多了……

 
如果,你为了方便记忆,习惯于在这些服务上使用同样的密码。若其中某个服务被黑客入侵脱库,就有事情会发生:
1.邮箱被入侵,你的秘密,黑客掌握的清清楚楚;
2.有人冒充你的身份在QQ上向朋友借钱;
3.你的工作系统,被商业对手入侵,使你在商战中惨败;
4.半夜手机响,有人在千里之外用你的信用卡刷卡消费;
5.你的支付宝原来锁定的手机号和邮箱已被修改,这个帐号已不属于你,你却毫不知情,仍然让商业伙伴为这个帐户付款。

 
怎么搞定密码安全?

 
疯了,你这个搞安全的人,难道让我去记住这么多帐号密码,你TMD记得住吗?抱歉,我真的不是故意折腾自己并把折腾自己的方法和你分享,我也记不住几十个服务的密码。

 
重复一下我的经验:

 
将自己用的在线服务简单分三类:

 
一类:特别重要,丢了就损失惨重。包括最常使用的邮箱,淘宝支付宝、网银等与钱有关的东西。

 
二类:很重要,微博、QQ,电子商务网站的注册。这些东西丢了,会给自己或朋友构成威胁。

 
三类:不太重要,一般的论坛。

 
确保很重要或特别重要的帐号密码安全,其中重中之重是最常用的,与很多服务绑定的邮箱密码安全。因为这个邮箱地址必然是公开的,黑客只需要拿字典中查到的密码去尝试用你的身份登录。

 
密码可以很个性化,自己好记,外人猜不到,比如将自己最喜欢印象最深刻的事情缩写记录为密码(大小写混淆加上特殊字符),每一个很重要的或特别重要的密码都不与其他服务重复。

 
网银只选择有usb key的在线服务,与网银绑定的手机最好不关机。(我不确定手机不关机会浪费多少电,会缩短使用寿命吗?不确定)

 
当你的信用卡被盗刷时,银行会给你发短信,如果你关机了……

 
不太重要的服务,用不常用的邮箱来管理,忘了就忘了吧,用那个邮箱找回或者干脆重新注册。

 
总结一下:

 
不管一家公司有多牛,必须有人看好大门。安全是相对的过程,如果一个服务没有做安全维护,被入侵的事情就必然会发生。如果其中有数据库,资料被窃的概率就会很大。

 
注意到没,中南海的大门永远是敞开的,普通人却永远进不去,没有通行许可。

 
对个人也是如此,密码就是看门人。云存储正在向我们招手,未来,我们的资料也许都存在远程服务器上。

 
黑客时刻准备入侵,你准备好了吗?

喜欢0 评分0
回复

切换至电脑版

Powered by phpwind.me ©2003-2014