你的密码已经多久没改了你的密码已经多久没改了英语

了解更多热门资讯、玩机技巧、数码评测、科普深扒,点击右上角关注我们

———————————-

在2013年,有一个传说弥漫在了IT圈:某家企业由于密码防护意识不高,饱受密码泄露之苦,决定痛定思痛,花一整天改掉企业所有的密码,包括每一台路由器、服务器、数据库、ISP账户、计算机,甚至是语音信箱。

在这家企业大规模更改之后,众多业界巨头中的程序员便纷纷响应,包括三星、微软、宏碁等大厂。人们将每年的这一天——五月份第一个星期四称为世界密码日。

今天就是第八个世界密码日,尽管人们对于隐私越来越重视,但由于密码泄露导致的损失却进一步扩大。根据Juniper Research的调查,2011年,平均每次密码泄露上面的损失为550万美元,而到了2020年,平均损失额超过了1.5亿美元。

今天,小雷就借着世界密码日的机会,来给大家说一堂“密码课”。

糟糕的密码管理

让我们抛开密码的防护问题,首先要承认一点的是,我们很多人从一开始的密码编写就做得远远不到位。

首当其冲的问题就是密码设置过于简单。在2013年的世界密码日上,管理机构就公布了“最容易被攻破的密码清单”,123456、111111等“经典密码”赫然在目。

而糟糕的是,123456哪怕到今天,依然稳坐最简单密码的第一名,而其余的密码,也都是稍微尝试下,就可以轻松窃取的用户密码。

根据统计机构SplashData的估计,从一份包含500万个泄露的账号清单进行统计,仅“123456”就有3%的用户使用过,而前25名密码的总使用人数加起来超过10%,达到了50万人。

继密码设置过于简单的问题后,下一个致命要素则是同一密码多处使用。例如银行卡密码和手机解锁密码都是同样的六位数,所有网络账户都用同一套密码等。

这种密码设置的方式,很容易遭到黑客的“撞库”。黑客只需要拿到一个网站的用户账户和密码,就将其写入一个字典表中并上传到相关论坛。其他黑客就可以在其他网站上进行暴力试错,曾经iCloud的“艳照门”就是被部分黑客用其他网站泄露的密码“撞库”导致的。

在今年的3月份,新浪微博就被曝光有5.4亿用户数据泄露。在调查之后,新浪微博发布公告称,黑客不是通过攻破新浪数据库来进行信息窃取,而是用其它网站上的电话号码搜索+相同密码撞库来进行匹配。

个人隐私的双刃剑:电话号码

在日益严重的密码窃取事件中,电话号码成为了黑客们的新目标。尤其是通过电话号码登陆的社交类app,更是个人隐私泄露的重灾区,部分网站的密码找回机制,就能锁定用户的电话号码,你也可以在无良网站上很轻易地买到电话清单。电话号码本身的泄露问题已经很严重,垃圾短信、钓鱼网站就已经成为了现代生活的一大痼疾,但黑客能从电话上获取更多的信息。

在刚才微博的例子中,黑客所做的就是把用户的电话号码放到支付宝、QQ、微信等社交网站上进行搜索,得到用户的姓名、昵称等隐私信息,一个用户的完整生态就此建立。

通过上述两种方法,在互联网上其实已经可以初步搜索到用户的生活城市、工作职位以及个人履历。这种搜索手段被称为社会工程学(Social Engineering),通过合法手段,普通人就已经毫无隐私可言。而在暗网上,还有专门整理的社会工程学数据库,定位更加精准。

接下来,黑客会通过邮件、短信等方式来试图骗出你的密码。黑客知道了你的大致生活状态,你会很轻易地相信对方是来自某个权威机构。譬如你收到了一封名为“您的apple id已被锁定”钓鱼邮件,很多用户就会去虚假的苹果网站上上输入自己的账号和密码,黑客就会用它去撞库匹配。

但即便电话号码成为了如今数据的主要泄露方式,它依然是我们密码保障的重要一环。短信验证、双重登陆、密码找回都是重要的密码保护方式,我国的实名认证也必须需要电话号码,与其担心号码被不良商家贩卖,不如接受现实,构造一个难以被攻破的密码体系。

如何制造简单省事的安全密码

设置一套安全的密码,说起来容易做起来难。虽然手机上已经可以通过密码管理软件来云端存储,但人的记忆力才是用户最为信任的地方。对于习惯使用密码管理软件的同学们,小雷建议还是将备份抄写在笔记本上携带,防止遗忘,也可以用md2等加密算法进行加密。而对于习惯大脑记忆的同学们,小雷准备了一套完善的“密码分级”制度。

在设置密码的过程中,重要的一步就是为密码分级,那些小网站可以选择好记安全性偏低的密码,而重要账号则使用安全性偏高的密码。而邮箱作为接收网站验证、私人消费记录等重要场景,理应使用最复杂的密码来进行防护,并且要勤更换。

例如网易邮箱,就在今天特地发布了一个倡议,网易表示,尽管通过各种安全手段,网易邮箱每年阻挡各类攻击超过五十亿次,但使用同一套账号密码依然伴随着巨大的风险,倡议用户每年进行更换。为了让老用户更加快捷地更换密码,网易也特地提供了账号快捷入口,并建议用户完成手机绑定和二次验证。

在次一级的网站上,小雷建议可以使用通用密码+网站后缀的方式使用,例如微博,可以在常规密码之后加上weibo或者sina的后缀,常规密码则使用几个进行替换。我们之前说过,除非是定点爆破,否则黑客绝不会一个个用手打。这样即使密码丢失黑客利用脚本进行暴力匹配,放到其他网站上也过不去。

对于再次一级的网站,譬如一些用过就丢的资源站,小雷建议使用不常用的垃圾邮箱和通用的密码进行注册即可。通常可以使用一句话的缩写,或者古诗词的汉语拼音缩写进行注册。

在现代生活中,我们几乎很难拥有着绝对隐私,但我们也不能对自己的账户安全“彻底躺平”。当今的互联网生活中,依然只有密码才能让我们保持住最后一丝安全,大企业的硬件加密和软件防护都已经做得非常齐全。不要因为普通的“脚本小子”,就给自己糟糕的密码管理买单,要输,也要输给大企业和顶级黑客。

———————————-

点击文章顶部雷科技头像,私信回复“搞机”,即可获得玩机技能合集。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注