近日,烏云網(wǎng)曝出大麥網(wǎng)(damai.com)用戶密碼數(shù)據(jù)庫(kù)在網(wǎng)上公開(kāi)售賣,涉及用戶多達(dá)600余萬(wàn)! 在利用密碼進(jìn)行一次md5解密后,果然可登陸大麥網(wǎng)。
在對(duì)泄露數(shù)據(jù)中取三個(gè)相鄰的賬號(hào)進(jìn)行登錄,抓包分析其用戶ID是連續(xù)的,技術(shù)上已經(jīng)初步證明該數(shù)據(jù)有著很大的拖庫(kù)嫌疑。目前大麥網(wǎng)已確認(rèn)用戶信息泄露消息的真實(shí)性,并緊急發(fā)布公告,通知大麥網(wǎng)用戶及時(shí)修改自己的密碼,另外也提前預(yù)防多出相同密碼造成的撞庫(kù)風(fēng)險(xiǎn)。
什么是拖庫(kù)? 拖庫(kù)意味著什么?
拖庫(kù),又叫“脫褲”,往往是由于一些小的網(wǎng)站服務(wù)器安全措施不到位,被黑客入侵,拖出數(shù)據(jù)庫(kù),導(dǎo)出用戶名及密碼,然后在別的地方使用,例如以一定的價(jià)格售賣給網(wǎng)上的“好事者”。
撞庫(kù),就是網(wǎng)上的“好事者”通過(guò)一些渠道獲取大量的用戶名和密碼,以此帳戶密碼去大的網(wǎng)站試登陸,(軟件自動(dòng)進(jìn)行,有的識(shí)別碼也能自動(dòng)識(shí)別)撞到一個(gè)就OK。這就意味著,一旦用戶在多家站點(diǎn)使用相同的賬號(hào)密碼,只要其中一家因?yàn)榘踩胧┎坏轿槐煌蠋?kù),該用戶的所有賬戶信息都將受到威脅!
而事實(shí)上,獲取一個(gè)網(wǎng)站數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)并不一定需要非常高深的技術(shù)以及成本,一個(gè)掌握一些基礎(chǔ)黑客技術(shù)的人再加上一個(gè)功能強(qiáng)大效率較高的黑客工具,即可完成“拖庫(kù)”任務(wù),而一旦非法獲取的數(shù)據(jù)庫(kù)被用于撞庫(kù),往往將造成更大的危害。
拖庫(kù)危害——密碼泄露的多米諾效應(yīng)
2011年12月21日,某專業(yè)網(wǎng)站數(shù)據(jù)庫(kù)開(kāi)始在網(wǎng)上被瘋狂轉(zhuǎn)發(fā),包括600余萬(wàn)個(gè)明文的注冊(cè)郵箱和密碼泄露,大批受影響用戶為此連夜修改密碼。此后,178游戲網(wǎng)等5家網(wǎng)站用戶數(shù)據(jù)庫(kù)又相繼公開(kāi),更有媒體曝光數(shù)十家大型網(wǎng)站已遭黑客“拖庫(kù)”,從而將2011年末的密碼危機(jī)推向高峰。正如四年前的密碼危機(jī),如今600余萬(wàn)大麥網(wǎng)用戶信息被網(wǎng)上公開(kāi)叫賣,一旦被“有心人”加以利用,不斷撞庫(kù)其他網(wǎng)站,很可能會(huì)引發(fā)一系列密碼泄露的連鎖效應(yīng),更多網(wǎng)站的數(shù)據(jù)會(huì)被黑客放出。
盡管關(guān)于如何設(shè)置高強(qiáng)度密碼的文章劈天蓋地,但很多網(wǎng)民仍習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付、購(gòu)物等帳號(hào)設(shè)置相同密碼,一旦數(shù)據(jù)庫(kù)被泄漏,所有的用戶資料被公布于眾,任何人都可以拿著密碼去各個(gè)網(wǎng)站去嘗試登錄,對(duì)普通用戶可能造成財(cái)產(chǎn),個(gè)人隱私的損失或泄漏,詐騙者利用你的信息冒充客服進(jìn)行一系列詐騙。而對(duì)一些敏感的金融行業(yè)的用戶來(lái)說(shuō),這甚至是致命的危害!
防止撞庫(kù)——你的密碼是否犯了“大忌”
根據(jù)2014年發(fā)生的某購(gòu)票網(wǎng)站用戶信息泄露數(shù)據(jù),對(duì)網(wǎng)民的密碼使用習(xí)慣調(diào)查,發(fā)現(xiàn)大量網(wǎng)民在設(shè)置密碼是犯了這些大忌,請(qǐng)檢查一下自己是否在其中:
一、密碼中包含常用詞匯、生日、手機(jī)號(hào)、姓名拼音或縮寫等
二、從來(lái)不改密碼,一個(gè)密碼用很多年
三、所有的密碼都保存在電腦里、瀏覽器中
四、密碼長(zhǎng)度過(guò)低、純數(shù)字
五、不設(shè)置密保措施或二次驗(yàn)證
如果你在設(shè)置密碼時(shí)犯了這些“大忌”,那么你的賬號(hào)被盜的危險(xiǎn)也將提升,因此,養(yǎng)成一個(gè)良好的密碼使用習(xí)慣,對(duì)于保障賬戶安全是十分必要的。
提高賬戶安全的可選方案
一、設(shè)置高強(qiáng)度的密碼:形式上使用大寫字母、小寫字母、數(shù)字、非數(shù)字符號(hào)的組合。
二、經(jīng)常修改密碼:可定期更換密碼,每月或每一季更換一次,并且永遠(yuǎn)不要把密碼明文寫在紙上。
三、在不同的網(wǎng)絡(luò)系統(tǒng)使用不同的密碼,對(duì)于重要的系統(tǒng)使用更為安全的密碼。
四、不將密碼保存在本地:常規(guī)瀏覽器保存密碼沒(méi)有一個(gè)很好的加密策略,這往往為黑客破解密碼大開(kāi)方便之門。
五、使用更安全的認(rèn)證方式:如果你覺(jué)得密碼太復(fù)雜記不住,可以采用掃描二維碼登錄、刷臉登錄、指紋識(shí)別登錄,每一種方式都比傳統(tǒng)密碼更安全便捷,只需在手機(jī)中安裝一款諸如洋蔥令牌的認(rèn)證軟件即可實(shí)現(xiàn)。