[安全] 詳解提高密碼安全的注意事項(xiàng)(一)
當(dāng)前互聯(lián)網(wǎng)一方面蓬勃發(fā)展而另一方面也在暗流涌動(dòng),如何保護(hù)我們賬號(hào)密碼的安全似乎是一個(gè)非常頭疼的問題。
現(xiàn)在的情況正如你所知道的那樣,無論你的密碼設(shè)置的多么復(fù)雜、多么不易被猜測(cè),也無法抵擋豬隊(duì)友(網(wǎng)站或者服務(wù)提供商)直接使用明文存儲(chǔ)密碼。
明文存儲(chǔ)密碼最大的麻煩在于一旦網(wǎng)站或者服務(wù)提供商被拖庫那么你精心設(shè)計(jì)的密碼也會(huì)變得毫無價(jià)值。
對(duì)于被拖庫我們似乎看的會(huì)更淡然一些,但絕對(duì)不是不在乎!我們認(rèn)為明文存儲(chǔ)用戶密碼的網(wǎng)站都是豬隊(duì)友,但被拖庫的卻不一定是豬隊(duì)友。
因?yàn)樵诤诳褪澜缋锊]有絕對(duì)的安全,無論是提供簡(jiǎn)單服務(wù)的小網(wǎng)站還是頂級(jí)科技公司例如 Google、Facebook 或者國內(nèi)的阿里巴巴、微博,他們都存在被拖庫的風(fēng)險(xiǎn),只不過相對(duì)而言概率太低太低了。
雖然對(duì)于用戶賬號(hào)密碼使用加密存儲(chǔ)也還是有被破解的風(fēng)險(xiǎn),但至少多了一道防火墻幫我們拖延時(shí)間、在被解密前及時(shí)更新密碼。
好了廢話不多說以下是系統(tǒng)天地小編總結(jié)的一些常用的安全策略,希望各位都能養(yǎng)成良好的網(wǎng)絡(luò)習(xí)慣。
一、首字母大寫+數(shù)字+標(biāo)點(diǎn)符號(hào)是時(shí)候改改了!
在上一個(gè)年代互聯(lián)網(wǎng)高速發(fā)展時(shí)大多數(shù)人使用的可能都是純數(shù)字、純字母或者數(shù)字+字母組合。
現(xiàn)在已經(jīng)很多網(wǎng)站在注冊(cè)時(shí)要求用戶使用大寫字母+小寫字母+數(shù)字或標(biāo)點(diǎn)符號(hào)的形式來提高密碼強(qiáng)度,比如蘋果賬號(hào)密碼就是這么要求的。
然而習(xí)慣終究還是習(xí)慣,很多人在看到這樣的提示后直接將密碼的第一個(gè)字符換成了大寫的字母,結(jié)尾加上個(gè) 1 或者. 了事。
對(duì)于黑客而言這樣的密碼強(qiáng)度已經(jīng)加大了密碼暴力破解的難度,但當(dāng)前計(jì)算機(jī)的發(fā)展速度已經(jīng)大大降低了破解所需要的成本和時(shí)間。
基于彩虹表和密碼詞典首字母大寫結(jié)尾加數(shù)字和標(biāo)點(diǎn)符號(hào)的安全性已經(jīng)大大降低,所以大小寫字母+數(shù)字+標(biāo)點(diǎn)符號(hào)是時(shí)候改改了!
我們建議用戶在創(chuàng)建密碼時(shí)不要首字母大寫,當(dāng)然大寫也可以但是中間部分再加一個(gè)大寫字母最好。
另外也不要在結(jié)尾加數(shù)字和標(biāo)點(diǎn)符號(hào),可以考慮把數(shù)字和標(biāo)點(diǎn)符號(hào)也加到中間部分,這會(huì)大大增加密碼破解的難度與時(shí)間。
abcdefg<Abcdefg<Abcdefg1<Abcdefg1.<abcdEfg1.<1.abcdEfg<abcdE1.fg<abcdE2.fg<abcdE2,fg //密碼強(qiáng)度自小到大
二、凡是可以啟用兩步驗(yàn)證的網(wǎng)站均啟用兩步驗(yàn)證
所謂兩步驗(yàn)證也就是在用戶登錄時(shí)需要下發(fā)驗(yàn)證碼進(jìn)行第二次確認(rèn),驗(yàn)證碼多半發(fā)送到綁定的手機(jī)中,也有網(wǎng)站可以發(fā)送到綁定的郵箱中。
在絕大多數(shù)情況下使用兩步驗(yàn)證是比較安全的,一般情況下網(wǎng)站的安全機(jī)制自動(dòng)判斷登錄用戶是否存在安全風(fēng)險(xiǎn)從而決定是否要進(jìn)行二次驗(yàn)證。
那么對(duì)于用戶而言網(wǎng)站的安全機(jī)制就是保護(hù)安全的一道屏障,通常情況下安全機(jī)制會(huì)對(duì)比登錄者的 IP、設(shè)備型號(hào)、瀏覽器等信息進(jìn)行判斷,當(dāng)然這也是存在風(fēng)險(xiǎn)的。
但基于手機(jī)或者郵箱的兩步驗(yàn)證安全性在上個(gè)月已經(jīng)飽受質(zhì)疑,《看完這張圖你明白是如何被騙的嗎?》一文中詐騙者通過欺騙用戶進(jìn)行了空中補(bǔ)卡(SIM 卡)導(dǎo)致一堆賬號(hào)淪陷。
微博上有人比喻網(wǎng)站的二次驗(yàn)證如同在沙灘上建立的高樓大廈,一旦手機(jī) SIM 卡被不法分子獲得那么建立在手機(jī)驗(yàn)證碼上的所有安全機(jī)制蕩然無存!
而不法分子為什么能獲得用戶的手機(jī) SIM 卡?原因在于用戶本身的問題和運(yùn)營商的問題,具體我們下文中繼續(xù)說。
就目前而言手機(jī)驗(yàn)證碼依然是兩步驗(yàn)證的重要基礎(chǔ)之一,且在可預(yù)期的未來幾年里這種驗(yàn)證方式還會(huì)繼續(xù)存在且?guī)臀覀儽Wo(hù)賬戶安全。
盡管兩步驗(yàn)證也依然存在風(fēng)險(xiǎn)但相對(duì)而言已經(jīng)可以幫助我們大大的提高了賬戶安全性。
三、不要分享或者泄露自己的賬戶與密碼
可能在你看到這個(gè)標(biāo)題時(shí)比較奇怪,為什么我要分享自己的賬戶與密碼?為什么我會(huì)泄露我的賬戶與密碼?
如果你有上面這種想法那么恭喜你至少你到現(xiàn)在還沒有主動(dòng)將自己的密碼分享給別人,但以后肯定會(huì)遇到,一定要謹(jǐn)慎!
還是以《看完這張圖你明白是如何被騙的嗎?》為例,不法分子利用運(yùn)營商網(wǎng)站進(jìn)行空中補(bǔ)卡、利用 139 郵箱下發(fā) 10658 開頭的短信,最后成功騙取了受害者的補(bǔ)卡驗(yàn)證碼。
為什么運(yùn)營商會(huì)有空中補(bǔ)卡這項(xiàng)業(yè)務(wù)呢?說來也奇怪,根據(jù)通信界的業(yè)者 @通信女超人 稱這是運(yùn)營商為了方便 2G/3G 用戶升級(jí)到 4G 提升 4G 用戶用量而推出的舉措。
這項(xiàng)舉措實(shí)際用戶使用多少我們不知道,但就是這項(xiàng)業(yè)務(wù)讓不法分子成功遠(yuǎn)隔千里(或許也可能只是一里)通過互聯(lián)網(wǎng)直接拿到了用戶的 SIM 卡。
然而在大家都質(zhì)疑運(yùn)營商這項(xiàng)業(yè)務(wù)的時(shí)候,難道沒人想過不法分子是如何成功登陸受害者的網(wǎng)上營業(yè)廳嗎?
沒錯(cuò),受害者的手機(jī)號(hào)碼服務(wù)密碼已經(jīng)泄露,據(jù)說不法分子登陸時(shí)運(yùn)營商也進(jìn)行了二次驗(yàn)證,但這個(gè)消息我們無法證實(shí),受害者的貼文也沒有提到相關(guān)的驗(yàn)證碼信息。
可是受害者的服務(wù)密碼又是如何泄露的呢?這個(gè)我們也不得而知,但是已經(jīng)有不少網(wǎng)站需要用戶提供手機(jī)服務(wù)密碼。
恕我直言,這類網(wǎng)站其實(shí)指的就是 P2P 類網(wǎng)站。在我們看到這個(gè)貼文時(shí),很奇怪用戶的服務(wù)密碼為何會(huì)泄露,于是通過網(wǎng)上查詢得知幾乎所有的 P2P 網(wǎng)站都要求用戶提供手機(jī)服務(wù)密碼。
手機(jī)服務(wù)密碼用來查看用戶的號(hào)碼使用時(shí)間、通話記錄等(這是公開說明的),P2P 類網(wǎng)站的說明是查詢這些信息是為了判斷用戶的真實(shí)身份并綜合其他內(nèi)容決定是否允許用戶貸款。
經(jīng)過系統(tǒng)天地小編的驗(yàn)證 P2P 類網(wǎng)站確實(shí)需要提供手機(jī)服務(wù)密碼,我們注冊(cè)了五家國內(nèi)相對(duì)較大的 P2P 網(wǎng)站五家均需提供服務(wù)密碼。
但受害者具體服務(wù)密碼泄露的途徑就不清楚了,網(wǎng)貼里沒有提及、受害者也沒有繼續(xù)發(fā)聲。
所以在此也提醒各位網(wǎng)友千萬不要泄露自己的密碼 ,尤其是手機(jī)服務(wù)密碼、一旦手機(jī)卡被人補(bǔ)辦,那么你將會(huì)遇到不少的麻煩。
四、不要使用同一個(gè)密碼
不要使用同一個(gè)密碼大家都知道的,因?yàn)槿绻褂孟嗤拿艽a那么一個(gè)網(wǎng)站被拖庫、密碼被破解那么意味著你其他網(wǎng)站的密碼也歇菜了。
尤其國內(nèi)我們經(jīng)常使用的無非 QQ、淘寶、支付寶、微博、網(wǎng)易、百度等這些,如果你都使用相同的密碼,想想看這些網(wǎng)站要是都被人成功登陸了那會(huì)是什么樣的情形。
所以千萬不要把這些常用的網(wǎng)站密碼都設(shè)置成一樣的,不然你面臨的安全風(fēng)險(xiǎn)實(shí)在太大了。
蘇公網(wǎng)安備32032202000432