近日,烏云網曝出大麥網(damai.com)用戶密碼數據庫在網上公開售賣,涉及用戶多達600余萬!
在利用密碼進行一次md5解密后,果然可登陸大麥網。
在對泄露數據中取出三個相鄰的賬號進行登錄,抓包分析其用戶ID是連續的,技術上已經初步證明該數據有著很大的拖庫嫌疑。目前大麥網已確認用戶信息泄露消息的真實性,并緊急發布公告,通知大麥網用戶及時修改自己的密碼,另外也提前預防多出相同密碼造成的撞庫風險。
什么是拖庫? 拖庫意味著什么?
拖庫,又叫“脫褲”,往往是由于一些小的網站服務器安全措施不到位,被黑客入侵,拖出數據庫,導出用戶名及密碼,然后在別的地方使用。例如以一定的價格售賣給網上的“好事者”。
撞庫,就是網上的“好事者”通過一些渠道獲取大量的用戶名和密碼,以此帳戶密碼去大的網站試登陸,(軟件自動進行,有的識別碼也能自動識別)撞到一個就OK。這就意味著,一旦用戶在多家站點使用相同的賬號密碼,只要其中一家因為安全措施不到位被拖庫,該用戶的所有賬戶信息都將受到威脅!
而事實上,獲取一個網站數據庫內的數據并不一定需要非常高深的技術以及成本,一個掌握一些基礎黑客技術的人再加上一個功能強大效率較高的黑客工具,即可完成“拖庫”任務,而一旦非法獲取的數據庫被用于撞庫,往往將造成更大的危害。
拖庫危害——密碼泄露的多米諾效應
2011年12月21日,某專業網站數據庫開始在網上被瘋狂轉發,包括600余萬個明文的注冊郵箱和密碼泄露,大批受影響用戶為此連夜修改密碼。此后,178游戲網等5家網站用戶數據庫又相繼公開,更有媒體曝光數十家大型網站已遭黑客“拖庫”,從而將2011年末的密碼危機推向高峰。正如四年前的密碼危機,如今600余萬大麥網用戶信息被網上公開叫賣,一旦被“有心人”加以利用,不斷撞庫其他網站,很可能會引發一系列密碼泄露的連鎖效應,更多網站的數據會被黑客放出。
盡管關于如何設置高強度密碼的文章劈天蓋地,但很多網民仍習慣為郵箱、微博、游戲、網上支付、購物等帳號設置相同密碼。
一旦數據庫被泄漏,所有的用戶資料被公布于眾,任何人都可以拿著密碼去各個網站嘗試登錄。對普通用戶可能造成財產、個人隱私的損失或泄漏,詐騙者利用你的信息冒充客服進行一系列詐騙。而對一些敏感的金融行業的用戶來說,這甚至是致命的危害!
防止撞庫——你的密碼是否犯了“大忌”
根據2014年發生的某購票網站用戶信息泄露數據,對網民的密碼使用習慣調查,發現大量網民在設置密碼是犯了這些大忌,請檢查一下自己是否在其中:
一、密碼中包含常用詞匯、生日、手機號、姓名拼音或縮寫等;
二、從來不改密碼,一個密碼用很多年;
三、所有的密碼都保存在電腦里、瀏覽器中;
四、密碼長度過低、純數字;
五、不設置密保措施或二次驗證;
如果你在設置密碼時犯了這些“大忌”,那么你的賬號被盜的危險性也將提升,因此,養成一個良好的密碼使用習慣,對于保障賬戶安全是十分必要的。
提高賬戶安全的可選方案
一、設置高強度的密碼:形式上使用大寫字母、小寫字母、數字、非數字符號的組合;
二、經常修改密碼:可定期更換密碼,每月或每一季更換一次,并且永遠不要把密碼明文寫在紙上;
三、在不同的網絡系統使用不同的密碼,對于重要的系統使用更為安全的密碼;
四、不將密碼保存在本地:常規瀏覽器保存密碼沒有一個很好的加密策略,這往往為黑客破解密碼大開方便之門;
五、使用更安全的認證方式:如果你覺得密碼太復雜記不住,可以采用掃描二維碼登錄、刷臉登錄、指紋識別登錄,每一種方式都比傳統密碼更安全便捷,只需在手機中安裝一款諸如洋蔥令牌的認證軟件即可實現。
京公網安備 11010502049343號