測試你的密碼:設(shè)置安全密碼不被“猜破” |
發(fā)布時(shí)間: 2012/8/25 18:26:28 |
Formspring、Billabong、Nvidia 和雅虎都傳出了大規(guī)模的密碼外泄事件,很多用戶的用戶名和密碼都被公開到互聯(lián)網(wǎng)上。雅虎被入侵的事件影響了 45 萬名用戶,另外還有 39 萬名用戶的信息是通過 Nvidia 外泄的。 我們?cè)?jīng)探討過不安全的密碼,以及有關(guān)密碼的基本問題,但隨著最近發(fā)生的這些事件,很多用戶可能需要再次注意密碼安全問題,以及密碼的保護(hù)方法。 你的密碼能通過測試嗎? 密碼安全該做和不該做的事 1.不要使用常見字或連續(xù)數(shù)字組成短密碼 2.不要在不同平臺(tái)使用相同的密碼 3.要定期更改你的密碼 常見問題 LinkedIn、eHarmony、last.fm、英雄聯(lián)盟(LOL)和雅虎,這些網(wǎng)站有什么共同點(diǎn)?這些網(wǎng)站都曾經(jīng)是嚴(yán)重的數(shù)據(jù)外泄受害者,讓數(shù)百萬的用戶名和密碼被公布在網(wǎng)絡(luò)上。這些事件告訴我們,大多數(shù)網(wǎng)絡(luò)用戶還在使用不安全的密碼,有太多短密碼(例如 1234);還有用戶會(huì)用很容易被猜中的密碼。從雅虎被黑事件中可以看出,這45萬被外泄的用戶名和密碼主要都是連續(xù)數(shù)字(例如:12345),或用單字當(dāng)密碼。 不幸的是,這不會(huì)是最后一次數(shù)據(jù)竊取攻擊。只要網(wǎng)絡(luò)犯罪分子可以從偷來的數(shù)據(jù)中獲利,他們就會(huì)不斷地嘗試破解用戶帳號(hào)。一旦發(fā)生這種情況,你對(duì)你的密碼強(qiáng)度有信心嗎?你的密碼是否有機(jī)會(huì)對(duì)抗這些潛在的攻擊者? 為何我要保護(hù)好密碼? 密碼這玩意就跟人類的歷史一樣古老。還記得阿里巴巴和四十大盜的名句“芝麻開門!”嗎?如果你熟悉這故事,你就知道為什么強(qiáng)盜要用密碼來保護(hù)他們的寶藏了。 這就是我們現(xiàn)代密碼的功能。它是我們網(wǎng)絡(luò)生活的鑰匙。密碼保護(hù)我們的身份和敏感資料(例如是網(wǎng)絡(luò)銀行身分認(rèn)證和信用卡資料等)。這些數(shù)據(jù)對(duì)我們來說就像是四十大盜的寶藏一樣。而就和現(xiàn)實(shí)生活一樣,也有現(xiàn)代的小偷或網(wǎng)絡(luò)犯罪份子會(huì)想得到你寶貴的數(shù)據(jù)。一旦得手,任何人都有可能成為網(wǎng)絡(luò)犯罪分子的受害者,例如是身份竊盜,甚或是在某些情況下會(huì)造成實(shí)際的金錢損失。 想想當(dāng)你選錯(cuò)密碼時(shí)可能會(huì)發(fā)生的事情: ·每三秒就有重要數(shù)據(jù)被竊取。 ·有 810 萬美國成年人淪為身份詐騙的受害者。 每年信用卡詐騙會(huì)耗費(fèi)持卡人和發(fā)卡行高達(dá)五億美元的成本。 密碼如何被盜? ·暴力破解攻擊。網(wǎng)絡(luò)犯罪分子會(huì)系統(tǒng)地結(jié)合字母、數(shù)字和符號(hào)來嘗試破解你的密碼。攻擊者通常會(huì)從字典里的單詞開始。他們也會(huì)將之前破解來的密碼加到可能的組合列表里。每次成功的入侵都會(huì)增加他們數(shù)據(jù)庫內(nèi)可能的密碼組合。 ·社會(huì)工程學(xué)攻擊。網(wǎng)絡(luò)犯罪分子會(huì)利用流行的新聞、名牌、名人或世界級(jí)事件來誘騙用戶提供自己的密碼。他們也可能利用假比賽、促銷或獎(jiǎng)品來當(dāng)誘餌。我們目前看到一些值得注意的威脅包括利用 2012 倫敦奧運(yùn)會(huì)偽造的垃圾郵件,利用 iPhone 4S當(dāng)幌子的購物網(wǎng)站,還有假裝要提供熱門電腦游戲暗黑破壞神三下載鏈接的惡意網(wǎng)站。 ·鍵盤側(cè)錄等數(shù)據(jù)竊取惡意軟件。包括臭名昭著的 ZeuS/ZBOT 惡意軟件,它們可以記錄鍵盤活動(dòng),竊取個(gè)人身份資料,特別是金融相關(guān)資料。另一個(gè)值得注意的惡意軟件是 TSPY_GAMETHI.QJB,會(huì)竊取某些網(wǎng)絡(luò)游戲的登錄憑證。 ·網(wǎng)絡(luò)釣魚郵件/網(wǎng)頁。用戶會(huì)收到偽裝成銀行、信用卡公司或其他知名組織的電子郵件。這些郵件要用戶點(diǎn)擊進(jìn)入一個(gè)網(wǎng)站更新自己的賬戶,而按下按鈕后會(huì)將他們重定向到偽裝成正常網(wǎng)站的釣魚網(wǎng)站。沒有察覺的用戶可能會(huì)受騙,將他們的帳戶信息提供給這些網(wǎng)站 ·資料入侵外泄。網(wǎng)絡(luò)犯罪份子或某些團(tuán)體可能會(huì)入侵企業(yè)網(wǎng)絡(luò),竊取重要的數(shù)據(jù),例如客戶資料、商業(yè)機(jī)密等。一些著名組織,例如 SONY、SK 通信,以及雅虎都曾在過去淪為資料外泄資料外泄的受害者。 我該在密碼里使用單字嗎? 最好避免在密碼中使用能夠在字典里找到的常用單詞、有名的名字或是流行品牌。網(wǎng)絡(luò)犯罪分子可以很容易就通過暴力破解找出使用常用字詞的密碼。重點(diǎn)是使用難以破解的字詞或句子,你的密碼包含許多無意義的詞更好。如果使用“IloveTwilightverymuch”作為密碼,你可能已經(jīng)將你的密碼交給黑客了。 我該如何建立安全的密碼? 有許多不同的方法來建立安全的密碼。一種是建立可以記住的句子,將它牢牢記住。仔細(xì)想想就會(huì)有很多創(chuàng)意,但前提是要能記住。 例如:“Queen and The Beatles are my favorite bands of all time according to a random survey(根據(jù)一項(xiàng)隨機(jī)調(diào)查,皇后和披頭四是我在任何時(shí)候都最喜歡的樂團(tuán))”。 使用句子并不是百分百的安全。下一步是取用每個(gè)字的字首。你現(xiàn)在有了“QATBAMFBOATATARS”。現(xiàn)在這是你的密碼基礎(chǔ)了。將它想成一塊黏土,你可以利用它來做出任何你想要的密碼。 接下來要混合大小寫、數(shù)字和特殊字符。有些網(wǎng)站可能會(huì)限制特殊字符,所以你必須相應(yīng)地調(diào)整密碼。但只要網(wǎng)站允許使用特殊字符就用它們,并且最好不要使用連續(xù)的數(shù)字,例如 1234 或 98765。 結(jié)合以上考慮,我們可以將把 QATBAMFBOATATARS 變成 Q@TB@mfB0@T@Tr$。 你現(xiàn)在有了一個(gè)安全的密碼。 我可以建立一個(gè)短密碼嗎? 不行。以前的規(guī)則是建立至少8個(gè)字符的密碼,雖然專家建議長度最好超過 14 位。只要愿意,你可以設(shè)得越長越好。但有些網(wǎng)站有字?jǐn)?shù)限制。只要遵循網(wǎng)站的字?jǐn)?shù)上限就不是問題。但是,密碼的強(qiáng)度并不完全由它的長度決定。 我該在每個(gè)網(wǎng)絡(luò)帳號(hào)都用同一個(gè)密碼嗎? 不行。這樣一來,你建立安全密碼的努力就白費(fèi)了。一旦犯罪份子入侵你的一個(gè)帳號(hào),就可以用來破解你的其他帳號(hào)。只有當(dāng)你使用不同的密碼時(shí),這才不會(huì)是個(gè)問題。 我應(yīng)該將我的名字或個(gè)人資料加到密碼里嗎? 不行。避免將敏感信息(例如身份證號(hào)或姓名)加入密碼。但是你可以使用例如狗的名字、難忘的旅行地點(diǎn),或任何隨機(jī)而不重要的信息。只要確認(rèn)你是唯一知道這些信息的人就行(編按:如果你常在社交網(wǎng)站透漏這些信息,那最好還是不要用)。 我該定期更改密碼嗎? 是的。將它養(yǎng)成習(xí)慣,定期變更密碼以防黑客猜測猜中。 我的密碼很難記?梢园阉鼈儗懴聛韱? 不行,將你的密碼記在筆記本或紙上容易弄丟或被偷,這會(huì)讓你的網(wǎng)絡(luò)帳號(hào)馬上陷入危險(xiǎn)。更何況你還得想辦法去找出跟重置密碼。 最好的辦法是使用密碼管理軟件,例如趨勢科技的 DirectPass密碼管理 e 指通(可免費(fèi)下載試用),可以將密碼加密儲(chǔ)存在安全的位置。同時(shí)可以通過云服務(wù)在設(shè)備上同步,讓你無論在哪個(gè)地方都可以進(jìn)行安全的交易。 一旦黑客拿到我的密碼,會(huì)發(fā)生什么事? 黑客可能會(huì)做很多事,例如: 1.將你的電子郵件地址加入他們的垃圾郵件列表。犯罪分子現(xiàn)在可以將垃圾郵件塞滿你的信箱,讓你更容易成為其他攻擊的受害者。 2.利用你的密碼進(jìn)行未經(jīng)授權(quán)的交易。他們現(xiàn)在可以未經(jīng)你的同意就轉(zhuǎn)帳或購買東西。 3.使用你的身份。網(wǎng)絡(luò)犯罪分子可以使用你的身份來向執(zhí)法單位掩蓋他們的蹤跡。 4.在地下市場兜售你的身份。網(wǎng)絡(luò)犯罪分子可以將你的信息賣給其他犯罪團(tuán)體,讓他們?cè)谄渌粲?jì)劃里使用你的資料。例如根據(jù)一個(gè)地下市場的研究,你的登錄憑證可以在地下市場賣到一至五美元。想想看,如果壞人每天拿到超過幾百個(gè)帳號(hào)會(huì)怎樣。 從網(wǎng)絡(luò)偷來的資料值多少錢? 總結(jié)一下我們都學(xué)到了什么,在建立密碼之前,你需要考慮: 密碼檢查清單 1、使用不常見的單字 2、使用特殊字符和數(shù)字(非連續(xù)) 3、使用至少14個(gè)字符 4、在每個(gè)網(wǎng)絡(luò)帳號(hào)使用不同的密碼 5、定期變更新密碼 6、使用密碼管理工具記住密碼 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |