過(guò)去和現(xiàn)在都不斷在上演的信息泄漏事件���,已是一個(gè)老生常談的話題,可以預(yù)見(jiàn)在將來(lái)的一段時(shí)間內(nèi)��,依舊會(huì)是讓人們頭疼的事情�����。
剛剛邁入2020年不久�,此類安全事件就已頻發(fā)�,前有國(guó)內(nèi)鄭州市某民辦高校近兩萬(wàn)名學(xué)生信息遭泄露,其中涉及身份證號(hào)等20多項(xiàng)信息�;臺(tái)灣省發(fā)生重大個(gè)人數(shù)據(jù)泄露事件,84%公民信息出現(xiàn)在暗網(wǎng)�;后有美國(guó)教育機(jī)構(gòu)供應(yīng)商 Active Network為學(xué)校提供的會(huì)計(jì)軟件Blue Bear 被黑客入侵,拿走其支付卡數(shù)據(jù)�����;美國(guó)明尼蘇達(dá)州 Alomere Health 醫(yī)院被曝該院兩名員工的電子郵件賬戶遭到黑客入侵�,發(fā)生數(shù)據(jù)泄露事件。
從這些數(shù)據(jù)泄露事件中,我們可以發(fā)現(xiàn):首先從受泄露影響的人數(shù)看����,少則幾萬(wàn)人,多則千萬(wàn)�,比如美國(guó) Alomere Health 醫(yī)院的信息泄露影響近 5 萬(wàn)人,而臺(tái)灣省則泄露 84%公民信息�����;其次�����,泄露數(shù)據(jù)內(nèi)容詳細(xì)���,維度多���,例如鄭州高校數(shù)據(jù)泄露涉及20多種個(gè)人信息;同時(shí)數(shù)據(jù)泄露事件愈加頻繁�,不僅個(gè)人,企業(yè)���、組織機(jī)構(gòu)和國(guó)家政府都不斷陷入數(shù)據(jù)泄露�����,而且橫跨金融���、教育���、醫(yī)療到科技,涉及各行各業(yè)�����,影響深遠(yuǎn)��。
這些案例令人觸目驚心�,然而截止目前,最大的數(shù)據(jù)泄漏原因依舊是來(lái)自配置不當(dāng)?shù)南到y(tǒng)�����,其中就包括身份驗(yàn)證和密碼薄弱��。
弱密碼存在的巨大隱患����,和我們每一個(gè)人息息相關(guān),今天就讓我們來(lái)聊一聊如何 “遠(yuǎn)離弱口令���,保護(hù)信息安全���!
什么是弱口令��?
如果你的密碼設(shè)置得很好“猜”�����,我們就可以說(shuō)這個(gè)密碼的強(qiáng)度很“弱”�,就是一個(gè)“弱口令”。
“弱口令”具體長(zhǎng)什么樣子呢�?
123456常年霸占弱密碼榜首
根據(jù)splashdata的統(tǒng)計(jì),2019 年的十大弱密碼仍是那幾個(gè)熟悉的面孔��,和 2018 年的榜單做個(gè)比較�,上榜的密碼大同小異,雖然“sunshine”跌出 Top 10 榜單����,但也仍位居第30名,新進(jìn)榜的還有更弱的“123123”���, “123456”依然穩(wěn)穩(wěn)拿下弱密碼冠軍的寶座���。
這些高頻出現(xiàn)的口令�����,往往就是黑客最偏愛(ài)“猜測(cè)”的口令��,也就是典型的“弱口令”�����,弱口令還包含空口令和通用口令和一些用戶名相關(guān)的口令(大家可以看看自己平時(shí)是不是也經(jīng)常設(shè)置這些密碼)���。
空口令和通用口令
“空口令”很好理解,就是完全不設(shè)置口令�����。最常見(jiàn)的是在開(kāi)發(fā)測(cè)試環(huán)境���,搭建的數(shù)據(jù)庫(kù)(比如MySQL、memcache���、redis���、mongoDB等等)��,為了方便���,完全不設(shè)置任何密碼,登錄的時(shí)候不需要停下來(lái)輸入密碼的感覺(jué)真是太愜意了���,不過(guò)黑客也不需要輸入密碼就能偷取你的隱私�����,會(huì)更愜意呢����。
另一種情況��,管理人員可能已經(jīng)意識(shí)到密碼強(qiáng)度太弱不好了����,于是設(shè)置了一個(gè)字母+數(shù)字+特殊字符的口令,比如“complexPWD@1984++這樣的口令�,看上去不那么容易“猜”得出來(lái)了�,可惜�����,整個(gè)團(tuán)隊(duì)的人都在用���,時(shí)間長(zhǎng)了�����,團(tuán)隊(duì)人員變動(dòng)�����,或者某個(gè)成員個(gè)人電腦��、服務(wù)器被黑���,都會(huì)導(dǎo)致團(tuán)隊(duì)的通用口令泄漏。因此��,使用靜態(tài)的通用口令依然要被視為“弱口令”�。
和用戶名相關(guān)的口令
有些人會(huì)把密碼設(shè)置得跟用戶名有一定的關(guān)系,比如:用戶名是小明,密碼是小明的生日�、手機(jī)號(hào)���、紀(jì)念日�、父母的生日��;也有人用自己的車牌號(hào)碼�,家庭住址門牌號(hào)碼,這些常見(jiàn)的“密碼套路”���,極容易被破解�。因?yàn)楸举|(zhì)上還是和你的一些基本信息有關(guān)聯(lián)�,別以為黑客就不知道了。黑客可能擁有某些網(wǎng)站的數(shù)據(jù)庫(kù)��,可以直接查詢你的這些信息�,就算不通過(guò)數(shù)據(jù)庫(kù)查詢,枚舉所有的生日�����、手機(jī)號(hào)(尤其針對(duì)某些地區(qū)的號(hào)碼段范圍)其實(shí)也花不了多少時(shí)間���。
除了密碼設(shè)置外����,還有一些人們?nèi)菀资韬雒艽a的場(chǎng)合。
在使用內(nèi)網(wǎng)時(shí)
有些人具備一些基本的安全常識(shí)���,不會(huì)在公開(kāi)場(chǎng)合設(shè)置“弱口令”�,但是在公司內(nèi)部���,尤其是測(cè)試環(huán)境�����,又很容易松懈����,認(rèn)為內(nèi)網(wǎng)是 “可信”的�。
這就too young too simple了,誰(shuí)能保證內(nèi)網(wǎng)就不被黑客滲透呢����?一旦黑客進(jìn)入內(nèi)網(wǎng),我們的“可信的內(nèi)網(wǎng)”就變成了“赤裸的內(nèi)網(wǎng)”……
大公司內(nèi)網(wǎng)滲透的案例�����,業(yè)界每年都會(huì)發(fā)生十多次或者更多,所以信任內(nèi)網(wǎng)并不是一個(gè)正確的安全態(tài)度����。
還有很多同事說(shuō)���,我的“測(cè)試”機(jī)器���,上面沒(méi)有什么“重要”數(shù)據(jù),所以弱口令就弱吧�,沒(méi)什么風(fēng)險(xiǎn)的。
這又一次too young too simple了��,黑客通過(guò)弱口令拿到的��,不僅僅是你機(jī)器上的“測(cè)試數(shù)據(jù)”�����,而是等價(jià)于你服務(wù)器享有的一切受信權(quán)限:
1.你這臺(tái)服務(wù)器可以訪問(wèn)其它的敏感數(shù)據(jù)��,現(xiàn)在黑客也擁有了同等的權(quán)利
2.你這個(gè)數(shù)據(jù)庫(kù)可以讀寫(xiě)服務(wù)器上的其它敏感文件(比如MySQL可以loadfile讀取機(jī)器上的/etc/passwd文件�,或者 into file 寫(xiě)入到任意可寫(xiě)路徑,造成進(jìn)一步入侵)……
尤其是疫情期間大多數(shù)企業(yè)都采用遠(yuǎn)程辦公,企業(yè)安全的脆弱性問(wèn)題無(wú)疑被放大了��,如果說(shuō)身份與訪問(wèn)管理是數(shù)據(jù)安全的“重災(zāi)區(qū)”���,那么“弱密碼”則無(wú)疑是“震中”�。
倘若處理不慎����,很可能因?yàn)樽约菏侨趺艽a被輕易破解而導(dǎo)致黑客橫向攻擊了單位內(nèi)網(wǎng),拿走核心敏感文件而帶來(lái)巨大的名譽(yù)和經(jīng)濟(jì)損失��。
在使用多個(gè)平臺(tái)時(shí)
《我國(guó)公眾網(wǎng)絡(luò)安全意識(shí)調(diào)查報(bào)告》顯示����,
定期更換密碼的被調(diào)查者僅占18.36%,而遇到問(wèn)題才更換密碼的被調(diào)查者有64.59%�����,有17.05%的被調(diào)查者從來(lái)不更換密碼����。
調(diào)查顯示,大多數(shù)人為了記憶方便���,公眾多賬號(hào)使用同一密碼的情況高達(dá)75.93%��,特別是青少年多賬號(hào)使用同一密碼的比例高達(dá)82.39%��。多賬戶使用同一密碼更容易遭到黑客攻擊�����,尤其是會(huì)面臨被“撞庫(kù)”的重大風(fēng)險(xiǎn)��。所謂“撞庫(kù)”����,即黑客攻破某一網(wǎng)站后����,會(huì)用獲取的賬號(hào)密碼去測(cè)試其他平臺(tái),那些多個(gè)平臺(tái)用一套賬號(hào)密碼的用戶就會(huì)中招�,甚至可能清空你的銀行卡。
我們之前曾推薦過(guò)幾個(gè)工具網(wǎng)站給大家���,可以戳鏈接檢測(cè)你的用戶名���、密碼����、電子郵箱地址是否已被泄漏���?
如果你或者身邊有人不慎泄露個(gè)人信息了��,往下看����,幾招教你養(yǎng)成好的安全習(xí)慣�����。
怎么保護(hù)我們的密碼 1.設(shè)定多套密碼
安全專家建議�,可以為自己設(shè)定多套密碼,東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院副教授宋宇波說(shuō):“重要系統(tǒng)(比如網(wǎng)銀等和隱私密切相關(guān)的)和非重要系統(tǒng)(一些論壇�����、查閱為主的網(wǎng)頁(yè))的密碼要分開(kāi)����,工作、生活��、和理財(cái)賬戶使用不一樣的密碼,這樣能減少風(fēng)險(xiǎn)�。”
2.不要到處亂貼自己的密碼
工作中見(jiàn)過(guò)不少小伙伴����,由于密碼難記,于是寫(xiě)在便箋上���,貼在座位或者顯示器附近���。方便了自己,也往往方便了陌生人���。《入侵的藝術(shù)》里�����,凱文.米特尼克就這樣獲取過(guò)某銀行的密碼然后入侵了進(jìn)去�。
3.不要在公共場(chǎng)合大聲地說(shuō)出密碼
有時(shí)候在電梯里、公交車上�����,聽(tīng)到敬業(yè)的同事處理工作事宜,會(huì)在電話里大聲的透露自己的密碼�。在電話那頭的同事獲得密碼的同時(shí),如果附近有居心叵測(cè)的人��,也同樣會(huì)獲得這個(gè)密碼�����。
4.不要明文存儲(chǔ)自己的密碼
筆者曾經(jīng)遇到過(guò)一個(gè)真實(shí)的案例���,有同事把存儲(chǔ)了密碼和很多工作相關(guān)信息的txt文件(包括寫(xiě)在記事本里���、郵件里),打包在網(wǎng)站根目錄下����,命名為readme.txt,結(jié)果這個(gè)文件被外部人獲取到了……
5.采取統(tǒng)一認(rèn)證
所謂統(tǒng)一認(rèn)證��,就是將需要登錄的若干個(gè)系統(tǒng)����,整合在一個(gè)地方。 這個(gè)時(shí)候���,你就不再需要記憶很多站點(diǎn)的密碼�,集中記住一個(gè)就夠了。
比如能夠用QQ或微信登錄的地方�,就不用再去另注冊(cè)一個(gè)用戶名和密碼了。
6.重要系統(tǒng)不要只用密碼認(rèn)證
比如大家在登錄網(wǎng)上銀行的時(shí)候�,可能還需要結(jié)合短信驗(yàn)證碼、動(dòng)態(tài)口令令牌�����、手機(jī)APP掃描等多種手段����。
即使密碼真的泄漏了,如果重要的系統(tǒng)必須同時(shí)滿足2����,3種驗(yàn)證手段才允許登錄��,那么這個(gè)系統(tǒng)的安全性自然會(huì)更高一點(diǎn)��。
7.使用復(fù)雜的口令
復(fù)雜口令�,首先密碼的長(zhǎng)度要長(zhǎng),至少8位以上�����。比如你的密碼是6位純數(shù)字的782341 ,黑客寫(xiě)個(gè)程序從 000000 逐個(gè)猜到 999999 ���,最多猜100w次��,就能把你的密碼“猜”出來(lái)��,而你的密碼是8位�����,它就要猜1億次����。
其次�,密碼不要純粹的使用數(shù)字或字母,而是要數(shù)字�����、字母�����、特殊字符夾雜著。這樣����,如果你的密碼是8位,每一位可以使用26個(gè)大寫(xiě)字母��、26個(gè)小寫(xiě)字母��、10個(gè)數(shù)字�、若干個(gè)特殊符號(hào),那么黑客就要猜測(cè)至少 N的8次方����,N大于72,這可是一個(gè)更大的數(shù)字��,很多黑客沒(méi)有耐心這么猜下去的����。
8.使用替代語(yǔ)
有小伙伴或許要問(wèn):“你說(shuō)的都對(duì),可是讓我想個(gè)復(fù)雜的密碼����,我腦子一片空白,該怎么做才能滿足復(fù)雜的要求呢���?”建議你嘗試使用諧音等替代語(yǔ)作為密碼��。
如果你熱愛(ài)文學(xué)
▽
如果你口才不錯(cuò)
▽
如果你英語(yǔ)很好
▽
這樣只有你懂的代替語(yǔ)��,別人即使看到了��,也是一頭霧水����。
9.使用屏保/鎖屏密碼
一定要設(shè)置屏保密碼����,假設(shè)你突然被叫走,你的電腦不知道會(huì)被誰(shuí)使用�,重要的文件可能會(huì)被拷走。手機(jī)上的鎖屏密碼也是一樣���,所以設(shè)置屏保/鎖屏等手勢(shì)密碼很重要���,可以采用一些復(fù)雜但形象的方式,比如:
后羿射日
▽
諸葛連弩
▽
這樣可以給你的設(shè)備雙重的保障����。
10. 使用密碼生成器工具
如果你不愿自己思索密碼�����,可以搜索“密碼生成器”:能隨機(jī)生成一定程度的復(fù)雜密碼��。
近日��,蘋(píng)果公司就發(fā)布了一組有關(guān)密碼的免費(fèi)資源和工具��,她們向密碼生成器提供了當(dāng)今流行網(wǎng)站的密碼規(guī)則���,以便讓密碼生成器在網(wǎng)站密碼規(guī)則范圍內(nèi)盡可能生成高強(qiáng)度的密碼,這些工具資源統(tǒng)稱Password Manager Resources��,目前已經(jīng)在Github上開(kāi)源���,大家可以去嘗試�。
11.使用密碼管理器工具
有時(shí)我們的密碼是設(shè)置的挺復(fù)雜��,可是一轉(zhuǎn)頭自己也忘了密碼是什么�����,這種時(shí)候,可以借助一些專業(yè)的密碼管理軟件�����,把各個(gè)地方的密碼管理起來(lái)��,下一次想不起密碼的時(shí)候不用抓耳撓腮�����,只要復(fù)制粘貼就可以了����。
密碼管理器能夠幫助你解決記憶的難題�,還能保證較高的安全性,這方面的軟件有很多���,例如:KeePass DX����,Password Safe和KeePass����,Easypass等��。
當(dāng)然���,密碼管理器也有一個(gè)密碼,這個(gè)密碼叫做主密碼�,你必須牢記主密碼,并且為了防止遺忘����,最好把主密碼記錄在其他私密的地方。
12.定期更換密碼
即使你擁有了一個(gè)復(fù)雜的密碼��,也不要長(zhǎng)時(shí)間使用�����,因?yàn)橛袝r(shí)候密碼可能泄漏了我們卻不知道��。面對(duì)這種情況�����,定期更換就是一個(gè)很好的策略�,哪怕我們的帳號(hào)密碼一時(shí)間被黑,泄露出去了�,修改了密碼之后����,攻擊就失效了���。
人在江湖飄�,哪能不挨“盜”��?或許沒(méi)有什么能保證絕對(duì)的安全�,使用指紋解鎖���、面部解鎖也不例外����,但正因?yàn)槿绱���,我們平時(shí)才要多注意密碼安全���,多學(xué)習(xí)保護(hù)措施,并且及時(shí)去實(shí)踐操作�����,這樣才能在面對(duì)這些可能發(fā)生的意外時(shí),更加的從容淡定�����,更好的解決問(wèn)題����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
