Formspring、Billabong、Nvidia 和雅虎都傳出瞭大規模的密碼外泄事件,很多用戶的用戶名和密碼都被公開到互聯網上。雅虎被入侵的事件影響瞭 45 萬名用戶,另外還有 39 萬名用戶的信息是通過 Nvidia 外泄的。
我們曾經探討過不安全的密碼,以及有關密碼的基本問題,但隨著最近發生的這些事件,很多用戶可能需要再次註意密碼安全問題,以及密碼的保護方法。
你的密碼能通過測試嗎?
密碼安全該做和不該做的事
1.不要使用常見字或連續數字組成短密碼
2.不要在不同平臺使用相同的密碼
3.要定期更改你的密碼
常見問題
LinkedIn、eHarmony、last.fm、英雄聯盟(LOL)和雅虎,這些網站有什麼共同點?這些網站都曾經是嚴重的數據外泄受害者,讓數百萬的用戶名和密碼被公佈在網絡上。這些事件告訴我們,大多數網絡用戶還在使用不安全的密碼,有太多短密碼(例如 1234);還有用戶會用很容易被猜中的密碼。從雅虎被黑事件中可以看出,這45萬被外泄的用戶名和密碼主要都是連續數字(例如:12345),或用單字當密碼。
不幸的是,這不會是最後一次數據竊取攻擊。隻要網絡犯罪分子可以從偷來的數據中獲利,他們就會不斷地嘗試破解用戶帳號。一旦發生這種情況,你對你的密碼強度有信心嗎?你的密碼是否有機會對抗這些潛在的攻擊者?
為何我要保護好密碼?
密碼這玩意就跟人類的歷史一樣古老。還記得阿裡巴巴和四十大盜的名句“芝麻開門!”嗎?如果你熟悉這故事,你就知道為什麼強盜要用密碼來保護他們的寶藏瞭。
這就是我們現代密碼的功能。它是我們網絡生活的鑰匙。密碼保護我們的身份和敏感資料(例如是網絡銀行身分認證和信用卡資料等)。這些數據對我們來說就像是四十大盜的寶藏一樣。而就和現實生活一樣,也有現代的小偷或網絡犯罪份子會想得到你寶貴的數據。一旦得手,任何人都有可能成為網絡犯罪分子的受害者,例如是身份竊盜,甚或是在某些情況下會造成實際的金錢損失。
想想當你選錯密碼時可能會發生的事情:
·每三秒就有重要數據被竊取。
·有 810 萬美國成年人淪為身份詐騙的受害者。
每年信用卡詐騙會耗費持卡人和發卡行高達五億美元的成本。
密碼如何被盜?
·暴力破解攻擊。網絡犯罪分子會系統地結合字母、數字和符號來嘗試破解你的密碼。攻擊者通常會從字典裡的單詞開始。他們也會將之前破解來的密碼加到可能的組合列表裡。每次成功的入侵都會增加他們數據庫內可能的密碼組合。
·社會工程學攻擊。網絡犯罪分子會利用流行的新聞、名牌、名人或世界級事件來誘騙用戶提供自己的密碼。他們也可能利用假比賽、促銷或獎品來當誘餌。我們目前看到一些值得註意的威脅包括利用 2012 倫敦奧運會偽造的垃圾郵件,利用 iPhone 4S當幌子的購物網站,還有假裝要提供熱門電腦遊戲暗黑破壞神三下載鏈接的惡意網站。
·鍵盤側錄等數據竊取惡意軟件。包括臭名昭著的 ZeuS/ZBOT 惡意軟件,它們可以記錄鍵盤活動,竊取個人身份資料,特別是金融相關資料。另一個值得註意的惡意軟件是 TSPY_GAMETHI.QJB,會竊取某些網絡遊戲的登錄憑證。
·網絡釣魚郵件/網頁。用戶會收到偽裝成銀行、信用卡公司或其他知名組織的電子郵件。這些郵件要用戶點擊進入一個網站更新自己的賬戶,而按下按鈕後會將他們重定向到偽裝成正常網站的釣魚網站。沒有察覺的用戶可能會受騙,將他們的帳戶信息提供給這些網站
·資料入侵外泄。網絡犯罪份子或某些團體可能會入侵企業網絡,竊取重要的數據,例如客戶資料、商業機密等。一些著名組織,例如 SONY、SK 通信,以及雅虎都曾在過去淪為資料外泄資料外泄的受害者。
我該在密碼裡使用單字嗎?
最好避免在密碼中使用能夠在字典裡找到的常用單詞、有名的名字或是流行品牌。網絡犯罪分子可以很容易就通過暴力破解找出使用常用字詞的密碼。重點是使用難以破解的字詞或句子,你的密碼包含許多無意義的詞更好。如果使用“IloveTwilightverymuch”作為密碼,你可能已經將你的密碼交給黑客瞭。
我該如何建立安全的密碼?
有許多不同的方法來建立安全的密碼。一種是建立可以記住的句子,將它牢牢記住。仔細想想就會有很多創意,但前提是要能記住。
例如:“Queen and The Beatles are my favorite bands of all time according to a random survey(根據一項隨機調查,皇後和披頭四是我在任何時候都最喜歡的樂團)”。
使用句子並不是百分百的安全。下一步是取用每個字的字首。你現在有瞭“QATBAMFBOATATARS”。現在這是你的密碼基礎瞭。將它想成一塊黏土,你可以利用它來做出任何你想要的密碼。
接下來要混合大小寫、數字和特殊字符。有些網站可能會限制特殊字符,所以你必須相應地調整密碼。但隻要網站允許使用特殊字符就用它們,並且最好不要使用連續的數字
例如 1234 或 98765。
結合以上考慮,我們可以將把 QATBAMFBOATATARS 變成 Q@TB@mfB0@T@Tr$。
你現在有瞭一個安全的密碼。
我可以建立一個短密碼嗎?
不行。以前的規則是建立至少8個字符的密碼,雖然專傢建議長度最好超過 14 位。隻要願意,你可以設得越長越好。但有些網站有字數限制。隻要遵循網站的字數上限就不是問題。但是,密碼的強度並不完全由它的長度決定。
我該在每個網絡帳號都用同一個密碼嗎?
不行。這樣一來,你建立安全密碼的努力就白費瞭。一旦犯罪份子入侵你的一個帳號,就可以用來破解你的其他帳號。隻有當你使用不同的密碼時,這才不會是個問題。
我應該將我的名字或個人資料加到密碼裡嗎?
不行。避免將敏感信息(例如身份證號或姓名)加入密碼。但是你可以使用例如狗的名字、難忘的旅行地點,或任何隨機而不重要的信息。隻要確認你是唯一知道這些信息的人就行(編按:如果你常在社交網站透漏這些信息,那最好還是不要用)。
我該定期更改密碼嗎?
是的。將它養成習慣,定期變更密碼以防黑客猜測猜中。
我的密碼很難記。可以把它們寫下來嗎?
不行,將你的密碼記在筆記本或紙上容易弄丟或被偷,這會讓你的網絡帳號馬上陷入危險。更何況你還得想辦法去找出跟重置密碼。
最好的辦法是使用密碼管理軟件,例如趨勢科技的 DirectPass密碼管理 e 指通(可免費下載試用),可以將密碼加密儲存在安全的位置。同時可以通過雲服務在設備上同步,讓你無論在哪個地方都可以進行安全的交易。
一旦黑客拿到我的密碼,會發生什麼事?
黑客可能會做很多事,例如:
1.將你的電子郵件地址加入他們的垃圾郵件列表。犯罪分子現在可以將垃圾郵件塞滿你的信箱,讓你更容易成為其他攻擊的受害者。
2.利用你的密碼進行未經授權的交易。他們現在可以未經你的同意就轉帳或購買東西。
3.使用你的身份。網絡犯罪分子可以使用你的身份來向執法單位掩蓋他們的蹤跡。
4.在地下市場兜售你的身份。網絡犯罪分子可以將你的信息賣給其他犯罪團體,讓他們在其他攻擊計劃裡使用你的資料。例如根據一個地下市場的研究,你的登錄憑證可以在地下市場賣到一至五美元。想想看,如果壞人每天拿到超過幾百個帳號會怎樣。
從網絡偷來的資料值多少錢?
總結一下我們都學到瞭什麼,在建立密碼之前,你需要考慮:
密碼檢查清單
1、使用不常見的單字
2、使用特殊字符和數字(非連續)
3、使用至少14個字符
4、在每個網絡帳號使用不同的密碼
5、定期變更新密碼
6、使用密碼管理工具記住密碼
Orignal From: 測試你的密碼 設置安全密碼不被猜破
留言列表
