| 密码、密码、还是密码……今天的现代人,离得开密码吗?信用卡要密码、上网购物要密码、刷微博要密码、登录OA系统要密码、打开邮箱还要密码……当你的人生由一串串的账号和密码组成时,烦恼和风险也随之而来。该怎样保护你们呢?我的密码。 No.1 现代人的密码烦恼 因为总担心自己记不住,家庭主妇牟女士将生活中的所有密码都记录在一个小本子上,然而一天她外出购物回来后发现密码本丢了,当街便晕厥了过去。类似的密码烦恼还有很多。 长江、黄河、苏州河轮番上 高女士是一家大型国营企业的员工,登录企业内部的OA系统,查看公司重要新闻、工作流程进度是她每天都必须做的事情。出于安全考虑,这家企业的OA系统要求员工每3个月必须更换一次密码,密码不仅需要有一定的复杂程度,而且不能与前三次的密码相同。 高女士对此颇为烦恼,每隔三个月,系统提示修改密码时,她就要苦思冥想,找一个和之前不同的密码,可设置密码不就是那几个数字吗?自己生日、儿子生日、老公生日、门牌号码……换的次数多了,还真凌乱了。有几次,她都因为输错密码导致账户被锁,不得不拜托IT部的同事解决。后来,同事教了她一个窍门,密码的数字设置为固定常用的几位,后面则把“长江、黄河、黑龙江、苏州河”轮番跟上,每三个月换一条“河”,就算记不清,最多试错三次,就搞定了。 丢一个密码 丢一串网站 “7月末的时候我在某家电子商务网站的账户密码就泄露了,直到现在才发现,期间没有任何提示。而且手机和邮箱还被别人绑定了密保。”网友“心岸”最近比较郁闷,他在某个电商平台里预存的350元被盗号人花得精光,网站里的信息显示,当时买了一双李宁鞋、一个移动电源和一张4G的存储卡,上面的收货地址填的是广东北部某农场,连门牌号都没有。 至今“心岸”仍然不知道,自己的密码到底是被这家电商泄露了呢,还是因为自己在其他网站的密码账号被盗导致的连锁反应。因为在不少网站上,他都用同一个邮箱和密码登录。一旦其中某一个账号密码被盗,相当于这些网站的个人信息全部泄露。 No.2 密码中暗藏的风险 不久前,一家名为“365社工库”的网站公开贩卖用户隐私信息,500元可以买到100万条个人信息。为了体现网站的“能力”,“365社工库”甚至提供反向验证服务,让购买者验证自己的邮箱密码到底有没有被泄露。这种肆无忌惮的“黑客”行为,引发人们对网站账号密码保护的深思。 社工库破解技术高超 所谓社工库,是指社会工程学库,它利用已经获取的用户信息,对账户进行针对性破解。一旦黑客知道一个账户后,就可以得到其他更有价值的账号。即使密码不尽相同,黑客利用该密码作为关键字进行暴力破解,也会大大提高破解率。 “社工库扫描与常规破解不同的是,它会刻意收集某个用户的所有个人信息,譬如手机号码、生日、买车、公司注册等,将这些信息汇总到一起后,黑客会利用工具进行综合处理,通过排列组合各种信息的形式来破解账户密码。”为网站提供密码安全服务的北京明朝万达科技有限公司董事长王志海告诉《IT时报》记者,这种社工库扫描破解的形式,成功率高的惊人,“破解率往往在20%以上,曾经有个案例,在每五张信用卡中,就有一张能被破解。” 网站口令保护处于初级水平 事实上,国内各类网站在保护用户账户密码安全性方面都存在着各种问题。 今年5月,中国软件评测中心联合北京大学互联网安全技术北京市重点实验室发布了《网站用户口令处理安全性外部测评报告》,在抽取了门户、邮箱、电子商务、招聘类、婚恋类、游戏类、论坛、博客、微博共9大类100个网站,对其用户口令处理进行了安全性测评后发现,仅有8个网站采取了充分的安全措施对用户口令做处理,更有85个网站直接拿到用户的口令原文。 测评负责人之一,北京大学互联网安全技术北京市重点实验室高级工程师龚晓跃表示,“整体上看,我国网站在用户口令保护方面还处于一个很初级的水平,亟待提升。” 中小网站成泄密高发区 “现在很多中小网站都是用开源平台来做的网站架构,安全方面存在着很多漏洞。黑客只要抓住一个漏洞就能对其破解,甚至几分钟内就能爆库。”王志海对记者介绍道。国内的大部分中小网站受硬件和软件资源的成本限制,对防火墙、安全编码等安全投入都不够大,这使得黑客轻而易举就能破解网站的数据库和存储的用户密码,即圈子里所说的“爆库”。 游侠安全网站长张百川告诉记者,“现在很多大网站都在建立分站,频道栏目也越来越多,有些频道,比如邮箱登录时安全措施做得比较好,但有些频道做得比较差,用同一个账号密码登录这些频道时,就会有可能带来安全问题。” 同时,在密码的存储和保护上,许多网站也掉以轻心,导致被爆库后黑客可以轻易获取密码。王志海指出,虽然现在很多网站虽然都采用了MD5这种流行算法进行加密,但做得非常简单,没有加入随机值等保护形式,很容易被破解。赛门铁克诺顿工程师张扬则表示,从以往的密码泄露问题来看,有很多是因为管理员将密码以明文形式存放在数据库里面,当黑客攻击网站获取数据库权限之后,对用户密码是一览无遗。 内鬼做乱也是重要隐患 “除了外部攻击之外,业内很多网站泄密还是内鬼所为。”王志海在接受记者采访时,语出惊人。他表示,在一些竞争激烈的行业内,企业内部人员流动性频繁,有时出于行业间的相互竞争,某些从业人员会将掌握的数据库信息倒卖给其他公司。而有些网站的内部人员为了牟利,会将信息倒卖给做信息收费服务公司,导致用户信息外流。 张百川了解的情况是,有时候内鬼并不一定就是企业的内部人员,而是为这些企业做外包的公司。 张百川讲述了这样一个案例,陕西某家运营商将计费系统项目部分外包给了一家当地的IT企业。结果实施该OA项目的IT企业某员工心怀不轨,白天正常上班,晚上利用自己获得的访问权限,将运营商的用户数据库下载到自己的电脑中,“最终这人拿到了陕西7个地市1394万手机用户信息,卖了3万元,而买家靠这个数据库群发短信,最终赚了一百多万。” N 0.3 密码的选择题:便捷or 安全 高女士的烦恼是,为什么密码总是要改?“心岸”的烦恼则是,同一个密码为什么不安全?在两个人的烦恼背后,是现代人的密码人生中,在便捷性和安全性之间的选择难题。目前有不少解决这种密码难题的方式,但同样存在两种选择的纠结。 联合登录的利与弊 如今网民在登录一些网站时,往往可以直接使用微博、QQ的账号密码登录,这被业内称为“联合登录”。京东商城的技术负责人向《IT时报》记者表示,联合登录采用的是一种称为oAuth的技术,第三方网站并不能触及到用户的账号信息,“当外部联合登录网站发生泄密状况时,可以第一时间关闭该泄密网站的联合登陆方式来保证用户的安全。” 张百川则认为联合登录利弊参半。“好处是简化了用户注册的过程,有些安全技术能力不强的中小型网站,通过联合登录的方式,相当于将自己的用户密码安全托管给了微博、QQ,从而避免从自己这里泄露了用户密码的可能。但另外一方面,如果一旦微博、QQ的密码泄露后,也会造成连锁反应。”而上海众人网络信息科技CEO谈剑锋非常反对这种方式,他同样担心泄密后产生连锁反应。 新的密码认证方式或可行 事实上,尽管高女士的密码保护方式略显繁琐,但在目前的技术水平下,还算是个不错的保护方式。据记者了解,除了强制定期更改密码之外,不少大型外资企业都给员工配备了动态令牌,让其在登录企业内网时使用。 安全宝是一家提供安全检测服务的企业,该公司联合产品副总裁吴翰清则认为,双因素认证(双因子认证)是一个相对较好的办法。双因素认证在登录时除了要求输入用户名和密码之外,还会要求用户输入移动终端所收到的确认信息,“Google和facebook前些时都加强了这方面的功能。通过数据分析来确保登录安全也是一个方面,但这个方面大家做得还都不够好。” 吴翰清告诉《IT时报》记者。 今年IT新锐之一谈剑锋的众人网络提供的就是一种采用时间同步技术的双因素认证系统,由动态密码令牌和认证软件系统组成,“在用户登录验证时,要输入我们的动态令牌上随机变化的动态口令数字。用户的密钥安全存储,能够防止用户信息的泄露。而动态密码变化无次序、无规律,能够解决由密码泄密导致的入侵问题。”京东商城技术负责人表示,正在逐步流行的二维码和生物识别技术,将会是更加便捷和先进的身份认证技术。 国内将建立网站安全标准 中国软件评测中心副主任、北京赛迪信息技术评测有限公司执行总裁高炽扬表示,由中国软件评测中心牵头承担的信息系统个人信息保护标准体系建设工作,将会涉及相关标准和规范的建立。 中国软件评测中心的工作人员告诉《IT时报》记者,该工作有了初步成果,总纲性的指导性标准已经获批,12月底将正式发布,明年2月1日起正式执行。 该工作人员还表示,按照这个标准,他们通过第三方机构对网站的安全性和用户个人信息保护进行评估,“评估打分后会公布出来,由此让用户了解网站的安全性和个人用户保护情况,让用户了解、选择使用更加安全的网站。” |
