10月19日,烏云漏洞報告平臺曝出“網易的用戶數據庫疑似泄露”影響數量總共近5億條,泄露信息包括用戶名、密碼、密碼提示問題/答案、生日等信息。
盡管網易郵箱團隊官網否認泄露問題,并答復為用戶密碼相同“撞庫”所致,但同時也提醒了廣大用戶避免在不同網站使用相同的網易郵箱賬號和密碼,以免其他不安全網站的數據泄漏后影響在其他平臺登錄的安全。
所謂“撞庫”就是指黑客通過收集互聯網已泄露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站。一旦用戶在多處使用同一套密碼,只要其中一處被破解就會讓其他服務的賬戶安全受到威脅。
由于網易是國內最早的郵箱服務商,因此許多網民使用了網易郵箱注冊或綁定了其他服務,如:淘寶、支付寶、iCloud、QQ等關鍵服務線,在網易郵箱被攻破的情況下,如果不及時修改密碼,一旦情況屬實,很可能造成連鎖反應。如果你的某一項服務綁定的網易郵箱,那么也許它已經保護不了你了。
更重要的是,盡管關于如何設置高強度密碼的文章劈天蓋地,但很多網民仍習慣為郵箱、微博、游戲、網上支付、購物等帳號設置相同密碼。許多網友在其他站點注冊時使用的就是網易郵箱作為用戶名,而密碼又和網易郵箱用的是同一個密碼,也就是說賬號密碼完全相同。在這種情況下,一旦網易郵箱數據庫泄露情況屬實,那么這些賬號都將變得岌岌可危。
保護賬戶安全,網民個人應該怎么做?
在目前,靜態密碼依然作為主流驗證方式的情況下,網民保護個人信息可以這么做。
首先,分級管理密碼,重要帳號如常用郵箱、網上支付、聊天帳號等單獨設置密碼;其次,定期修改密碼可有效避免網站數據庫泄露影響到自身帳號;工作郵箱不用于注冊網絡帳號,以免密碼泄露后危及企業信息安全;不讓電腦自動“保存密碼”,不隨意在第三方網站輸入帳號和密碼;即便是個人電腦,也要定期在所有已登錄站點手動強制注銷進行安全退出。
密碼泄露事件頻發,未來身份驗證的出路在哪里?
盡管每個網民都知道養成良好的密碼使用習慣的重要性,但是真正能夠做到的人少之又少。要求人們使用高強度的密碼并且定期修改,幾乎不可能,因為一個網民少則幾個,多則幾十個賬號,如果使用復雜密碼,那么身份驗證將變得非常繁瑣。很顯然,密碼已經承載不了人們的安全需求。在這種情況下,是否可以通過其他方式進行安全保護呢?
動態口令硬件
動態口令相對于靜態密碼,無法被暴力破解,也不會被“拖庫”、“撞庫”等問題困擾。目前銀行支付使用的動態口令硬件就是基于其中的一種。而因為動態口令硬件攜帶不便且易丟失,因此目前常用的是使用手機作為載體的動態口令軟件,使用手機作為載體,常見的有Google的動態令牌、洋蔥令牌等。
生物特征驗證
隨著生物識別技術的快速發展,其安全便捷性也很快得到人們的認可,在賬號保護上,生物識別也得到了非常廣的應用,例如使用“洋蔥令牌”,通過手機即可進行人臉、聲音、指紋驗證,然后通過掃碼或推送的方式即可在網站進行登錄。許多企業看到生物識別的安全便捷的優勢后,也將“洋蔥令牌”集成到企業內網,使員工在登錄內網系統時不再使用賬號密碼,從而解決了企業內網的安全問題。
手機短信驗證
目前主流的驗證方式,許多網絡服務注冊、修改密碼時均通過短信驗證,但成本相對較高,并且目前已經被曝出來存在短信攔截的安全隱患。
總體看來,生物驗證更可能成為以后的主流驗證方式,盡管目前其安全性和準確性備受質疑,但相信隨著識別技術的發展,安全性和準確性將不斷提高。近期招商銀行已經率先嘗試采用“刷臉ATM取款”,身份驗證服務商洋蔥令牌也推出開發工具包以幫助更多移動應用開發生物識別功能。百度、阿里巴巴、騰訊紛紛開始部署生物識別戰略。相信在生物識別技術普及后,密碼泄露問題將不再出現。
京公網安備 11010502049343號