过去和现在发生的信息泄露事件已经是老生常谈的话题,可以预见,在未来一段时间内,它仍将是人们头疼的问题。进入2020年不久,此类安全事件频频发生。此前,中国郑州市某民办高校近2万名学生信息被泄露,涉及身份证号等20余条信息;台湾省发生重大个人资料事件。在泄密事件中,84%的公民信息出现在暗网上;随后,美国教育机构ActiveNetwork提供的会计软件BlueBear被黑,支付卡数据被盗;美国明尼苏达州的AlomereHealthHospital被曝两名员工的电子邮件账户被黑,导致数据泄露。从这些数据泄露事件中,我们可以发现:首先,从受泄露影响的人数来看,数量从几万到几千万不等。比如美国AlomereHealthHospital的信息泄露,影响了近84%的公民信息;其次,泄露的数据是详细的、多维度的。例如,郑州高校数据泄露涉及20余种个人信息;与此同时,数据泄露也越来越频繁。不仅是个人,企业、组织和国家政府也不断卷入数据泄露事件。并跨越金融、教育、医疗到科技,涉及各行各业,影响深远。这些案例令人震惊,但到目前为止,数据泄露的最大来源仍然来自错误配置的系统,包括弱身份验证和密码。弱密码的巨大隐患与我们每个人都息息相关。今天就让我们来谈谈如何“远离弱密码,保护信息安全”。什么是弱密码?如果你的密码设置得好并且“猜到了”,我们可以说这个密码的强度很“弱”,也就是“弱密码”。1.“弱密码”究竟是什么样子的?123456常年霸占弱密码榜单。据splashdata统计,2019年十大弱密码依旧是那些熟悉的面孔。与2018年的榜单相比,去榜单上的密码都差不多。《阳光》虽然跌出前十,但仍排在第30位。较弱的“123123”新上榜,“123456”依然稳坐弱密码冠军宝座。王座。这些频繁出现的密码往往是黑客喜欢“猜”的密码,即典型的“弱密码”。你也经常设置这些密码吗)。2、空密码和万能密码“空密码”很容易理解,就是根本不设置密码。最常见的是在开发测试环境中,搭建的数据库(如MySQL、memcache、redis、mongoDB等),为了方便,完全没有设置密码,感觉不用登录时停止并输入密码真的很舒服。但是黑客不需要输入密码就可以窃取你的隐私,这样会更愉快。还有一种情况,可能是管理人员意识到密码强度太弱,所以设置了一个字母+数字+特殊字符的密码,比如“complexPWD@1984++”,看来密码不是那么容易破解的猜猜”“我明白了。不幸的是,整个团队都在使用它。时间长了,团队成员发生变化,或者成员的个人电脑或服务器被黑客入侵,都会导致团队通用密码泄露。因此,使用静态万能密码仍然应该算是“弱密码”。3.与用户名相关的密码有些人会设置密码与用户名有一定的关系,例如:用户名是小明,而密码是小明的生日、手机号、周年纪念日、父母生日;有些人用自己的车牌号、家庭住址门牌号,这些常见的“密码套路”极易被破解。因为本质上与一些你的基本信息,别以为黑客不知道是的。黑客可能拥有某些网站的数据库,可以直接查询您的信息。即使不通过数据库查询,枚举所有的生日和手机号码(尤其是某些地区的号码范围)也不需要太多时间。除了密码设置,还有一些场合,人们倾向于忽略密码。4、有些人在使用内网时有一些基本的安全知识,不会在公共场所设置“弱密码”,但在公司内部,尤其是测试环境中,很容易松懈,认为内网是“可信的””。这太年轻太简单了,谁能保证内网不被黑客侵入?一旦黑客进入内网,我们的“可信内网”就会变成“裸内网”……在大公司内部,行业内每年都会发生十几次甚至更多的网络渗透案例,相信内网是不正确的安全态度。很多同事也说,我的“测试”机器上没有“重要”的数据,所以弱密码应该是弱密码,没有风险。这又太年轻太简单了。黑客通过弱口令得到的不仅仅是你机器上的“测试数据”,而是相当于你的服务器享有的所有可信权限:你的服务器可以访问其他敏感数据,现在黑客也有同样的权限你的数据库可以读写了服务器上的其他敏感文件(例如MySQL可以loadfile读取本机/etc/passwd文件,或者写入文件到任意可写路径,造成进一步入侵)……尤其是疫情期间,大部分企业采用远程办公,企业安全的脆弱性无疑被放大。如果说身份和访问管理是数据安全的“重灾区”,那么“弱密码”无疑是“震中”。如果处理不当,极有可能因弱口令容易被破解而被黑客横向攻击单位内网,带走核心敏感文件,造成巨大的名誉和经济损失。5、在使用多个平台时,《我国公众网络安全意识调查报告》显示只有18.36%的受访者经常更改密码,64.59%的受访者只是遇到问题才更改密码,17.05%的受访者从不更改密码password。调查显示,为了方便记忆,大多数人对多个账户使用同一个密码的比例高达75.93%,尤其是青少年对多个账户使用同一个密码的比例高达82.39%。多个账户使用同一个密码更容易被黑客攻击,尤其是面临被“认证”的重大风险。所谓“崩溃库”,是指黑客攻破某个网站后,会利用获取的账号密码对其他平台进行测试。那些在多个平台上使用一套账户密码的用户就会上当受骗,甚至可能清空你的银行卡。之前给大家推荐过几个工具网站。您可以戳链接检测您的用户名、密码、邮箱是否被泄露?如果你或身边的人不小心泄露了个人信息,往下看,学几招你养成良好的安全习惯。如何保护我们的密码1.设置多组密码安全专家建议您可以为自己设置多组密码。东南大学网络空间安全学院副教授宋玉波表示:“重要系统(如网上银行等与隐私息息相关)和非重要系统(部分论坛、网页等)的密码主要是搜索)应该分开,工作、生活、财务账户应该使用不同的密码,这样可以降低风险。”2、密码不要到处贴,很多朋友因为密码不好记,就写在纸条上,贴在座位或显示器附近,方便自己,也方便陌生人《入侵的艺术》中,KevinMitnick通过这种方式获得了一家银行的密码,然后黑进了银行。3.不要在公共场合大声说出密码。有时在电梯或公交车上,当你听到你的专用密码时同事处理工作事务,你会在电话里大声说出你的密码,在电话那头的同事拿到密码的同时,如果附近有别有用心的人,他们也会拿到密码。4.不要以明文形式存储自己的密码,笔者曾经遇到过一个真实的案例,同事将一个存储密码和大量工作相关信息的txt文件(包括用记事本和邮件写的)打包到网站的根目录下,并将其命名为readme.txt,它变成了你莫非这个文件被外人获取了...5、采用统一认证所谓统一认证,就是把几个需要登录的系统整合到一个地方。这时候你就不需要再记住很多网站的密码了,只记住一个就可以了。比如可以用QQ或者微信登录的地方,就不需要另外注册用户名和密码了。6、不要只对重要系统使用密码认证。例如,您在登录网上银行时,可能还需要结合短信验证码、动态密码令牌、手机APP扫描等方式。即使密码真的泄露了,如果一个重要的系统必须同时满足2、3种验证方式才能允许登录,那么这个系统的安全性自然会更高。7、使用复杂的密码对于复杂的密码,密码的长度要长一些,至少8个字符。比如你的密码是6位782341,黑客写个程序从000000到999999一个一个猜,最多100w次,你就可以“猜”到你的密码,而你的密码是8位,就会100万个猜测。其次,密码不应使用纯数字或字母,而应使用数字、字母和特殊字符的混合。这样,如果你的密码是8个字符,每个字符可以使用26个大写字母,26个小写字母,10个数字,几个特殊符号,那么黑客至少要猜出N的8次方,N是大于72。这是一个更大的数字,很多黑客没有耐心去这样猜。8、有些使用替代语言的朋友可能会问:“你说得对,但是让我想到一个复杂的密码,脑子一片空白,复杂的要求怎么满足呢?”建议你尽量使用谐音等替代密码。如果你热爱文学▽如果你能说会道▽如果你擅长英语▽这种只有你懂的代用语言,即使别人看到了,也会不知所措。9、使用屏保/锁屏密码时,必须设置屏保密码。如果你突然被叫走,你不知道谁会用你的电脑,重要的文件可能会被复制走。手机上的锁屏密码都是一样的,所以设置屏保/锁屏等手势密码很重要,可以使用一些复杂但形象的方法,比如:后羿射日▽诸葛恋奴▽这样可以给您的设备双重保护。10.使用密码生成器工具如果不想自己考虑密码,可以搜索“密码生成器”:它可以随机生成具有一定复杂度的密码。最近,Apple发布了一套与密码相关的免费资源和工具。他们为密码生成器提供当今流行网站的密码规则,使密码生成器可以生成网站密码规则范围内的高强度密码。这些工具资源统称为PasswordManagerResources,目前在Github上开源,大家可以试用。11.使用密码管理器工具。有时候我们的密码设置的很复杂,一转身就忘了密码是什么。这时候我们可以使用一些专业的密码管理软件来管理各个地方的密码。下次忘记密码时,不要挠头,直接复制粘贴即可。密码管理器可以帮助您解决内存问题并确保高安全性。这方面的软件很多,比如:KeePassDX、PasswordSafe、KeePass、Easypass等。当然密码管理器也是有密码的,这个密码叫做主密码,一定要记住主密码,以及为了防止忘记,最好把主密码记在其他私密的地方。12、定期修改密码即使你的密码很复杂,也不要长期使用,因为有时密码可能会在我们不知情的情况下泄露。面对这种情况,定期更换是一个很好的策略。哪怕我们的账号密码一时被破解泄露,修改密码后,攻击也会失效。人浮于江湖,怎能不遭“盗”?或许没有什么能保证绝对的安全,指纹解锁和人脸解锁也不例外,但也正因为如此,平时我们更加注重密码安全,多了解防护措施,及时练习操作,这样才能更加从容冷静的面对这些可能发生的意外,更好的解决问题。
