原文:http://blog.sina.com.cn/s/blog_6218b4460100vrou.html
一个密码面临多少风险
现在,密码已经成为人们网络生活的一部分,邮箱密码、QQ密码、淘宝密码、银行密码……这么多密码,用的好了当然一切都好,只要其中一个出问题,那就可能带来巨大的麻烦。那么,你知道密码常见的风险是哪些,用哪些措施可以提高密码的安全性吗?
数字账号风险,从QQ密码说起
首先我们要知道的是,我们常用的密码,通常是成对出现,即由“帐号”和“密码”两部分组成。比如QQ号和QQ密码、银行卡号和密码、邮箱帐号和密码……等等等等。单纯知道某个账户的密码,其实毫无意义,因为当你不知道账户是多少的时候,是无法利用这个密码做任何事情的,就像给人一把钥匙,但不告诉别人这把钥匙能开哪把锁,那这钥匙也就是一块废铁。
所以,现在大型互联网站通常会采用一个安全措施:当用户输入的账户名错误之后,系统会提示“账户或密码输入错误”,为什么不直接告诉用户“你输入的账户名错误”呢,这就是为了降低黑客通过猜测将账户和密码对应起来的概率。
普通网民最早认识到密码问题,最早应该是从QQ密码被盗开始的。大约在2000年前后,QQ密码被盗成风,很多所谓的“黑客”以窃取六位号为荣,经常在网上看到有到处炫耀自己的所谓情侣号、豪华号的人,由此开始,利用QQ传播病毒等也成为严重的安全问题。
其实,从密码安全的角度来讲,QQ号的设计是有一定问题的(当然这个问题的形成有它的历史原因),我们在上面说到,密码由两个部分组成:帐号和密码,因为QQ号是数字依次排列,等于黑客已经默认知道,凡是5位、6位、7位的QQ号一定都是有人用的,这样黑客只需要猜解密码即可,破解难度降低,风险增加。
所以世界上所有著名的互联网厂商,微软、google、facebook几乎都是以邮箱帐号为登录名,这样相对比较安全。腾讯应该也认识到了这个问题,所以后来对QQ的安全体系进行了大幅修改,逐渐引导用户将“邮箱帐号”与QQ号绑定,使用邮箱登录,这样就可以解决“数字帐号风险高”的问题。
密码面临的四种安全风险
QQ密码只是其中的一个例子,只不过由于他的用户群广泛,出现的问题更广为人知而已。事实上,所有需要密码的客户端软件和网站,都可能遇到密码窃取。一个最简单密码,从用户输入、到键盘、到浏览器、到网站存储,每个环节都可能成为密码保护的薄弱点,下面,我们将对其进行详细的分析:
第一,PC端窃取。根据相关数据统计,密码被盗最大份额、最危险的环节,是在本地机器上(PC)的木马窃取。黑客主要采取的手段有“记录键盘法”、“屏幕截图法”、“伪造客户端法”等。
所谓记录键盘法,就是利用病毒记录用户输入的键盘信息。病毒在监测到要盗取的软件客户端启动后,记录下用户输入的信息,将这些信息用邮件发动到特定邮箱。在早期的QQ盗号案例中,Keylogger(键盘记录器)、trojan(木马)占据了相当大的比例,当初在QQ用户中流传了很多所谓的“防盗号秘籍”,包括了什么颠倒输入法、汉字密码法、少数民族文字密码法等等千奇百怪的方式。
确实,早期的键盘记录器功能比较简陋,那时候使用这种奇怪的密码方式可能有用,但随着盗号木马功能的增强,有的木马甚至会定时截屏+键盘记录,这样只要是输入密码,就很少能逃过病毒的魔爪了。
屏幕截图法是另一种窃取密码的方式(只不过不太常用),早期的一些客户端软件,用户输入的密码未经严格加密,使用简单的方式即可将密码框中的星星破解成明文密码。病毒将当前桌面截图,即可获取到用户输入的密码。
因为上述两种方式很容易被杀毒软件拦截,后来病毒中出现了“伪造客户端”法。典型的病毒当监测到电脑中运行QQ、MSN这样的软件时,马上将其强行关闭(这时候用户会看到QQ异常退出等),然后病毒自己会跳出一个仿真度极高的伪造软件窗口,诱惑用户登录,用户在其中输入密码后即被窃取。这种利用了用户心理的窃取方式,成功率非常高。
第二,网关及局域网窃取。在早期的客户端软件中,聊天记录是不进行加密的(直到现在,MSN聊天记录也不加密),因此,黑客通过局域网抓包软件,即可抓取到局域网内包含密码的封包信息。因此,在企业局域网、小区局域网中使用密码的时候,网络安全管理成为密码安全的重要组成部分。
第三,服务器端窃取。服务器端窃取密码,也有多种可行的处理方式。
(1)扫描软件服务商的服务器漏洞,直接将其密码库窃取。这个难度较高,但因为管理密码的机构数量少,而黑客数量相对多……不怕千日做贼,就怕千日防贼。事实上,几乎所有的国内大型互联网服务商均遭到过“拖库”攻击,被黑客把密码库直接窃取。2011年,某大型SNS被拖库,导致其不得不强制要求所有的用户重置密码。
(2)暴力破解。这种方式通常属于“黑客已经知道帐号,想猜出密码”的情况。黑客可以先在SNS了解某个用户常用哪个邮箱,然后通过暴力穷举法来猜解出其密码。通常情况下,用户都会倾向使用自己熟悉的词语、拼音、数字当作密码,所谓的“我的生日就是密码”、“我的手机号码就是密码”就属于这一类。这些密码被制作成一个密码字典,黑客利用其来一个个进行尝试,最终获取到正确密码。
(3)利用密码找回漏洞进行破解。为了方便忘记密码的用户找回密码,每个互联网服务商都有自己密码找回服务,有的是让用户回答“你的宠物叫什么名字”,回答对了就可以找回密码,有的是把密码发送到事先设定的邮箱中。每种找回方式都有自己的漏洞,例如,知道用户宠物名字的人,有时候可能有好几十个;而事先设定的邮箱,有时候会因为种种原因被黑客控制。前不久发生的80SEC被黑事件,就是因为其成员使用了某邮箱设定密码,但是因为有段时间未曾登录,导致其邮箱帐号被服务器收回。黑客光明正大的自行注册了那个邮箱,又利用邮箱找回了服务器密码。
第四,网络钓鱼型窃取
与病毒窃取、拖库攻击相比,近年来,通过网络钓鱼进行密码窃取的方式逐渐受到黑客青睐,这种方式不需要太高的技术能力,只要有“创意”就能从用户那里骗取密码。
黑客通常会伪造相关网页。目前热门的伪造对象包括:网游网站、QQ、银行、微博等。黑客只需要做个看起来像真的网页,然后想办法诱骗去登录即可。今年初某银行遇到的大规模钓鱼攻击,就是黑客伪造了该银行网站,再通过群发手机短信,骗取用户的帐号密码,进而窃取银行资金。
加强密码安全的五个措施
分析了黑客窃取密码的种种方法,相对应的,我们也就知道了如何预防和阻止黑客对密码的窃取:
第一,进行密码分级管理,重要密码和非重要密码一定要严格分开。比如银行密码、支付宝密码,属于最重要等级的密码,应该单个密码分别设置,不要使用不安全的邮箱设置成其密码找回依据。在注册一些新网站、小网站的时候,应使用单独的密码。不应该与其它密码混用,尤其应该避免银行密码与其它密码相同,否则黑客可以通过攻击小网站获取密码后,猜解重要网站密码。
第二,作为密码管理的基础,选用一个安全的邮箱至关重要,推荐用国外的Gmail邮箱。用于密码找回的邮箱,不应该使用平时常用的通讯邮箱。因为平时接收邮件时,很容易被附件中的恶意文件感染,造成密码失窃。
第三,在本地电脑上,应安装基本的安全防护软件,使用正版系统,随时打好系统补丁,把浏览器升级到最新的版本,这样可以避免一大部分利用漏洞入侵用户电脑的病毒和木马。
第四,在使用重要的帐号密码时,如果有条件,应在不常用的电脑或系统上使用。在经常浏览网页的电脑上,病毒感染的几率相对大。这种情况下,可以在电脑上安装两个系统,平时使用一个系统,用网银之类重要密码时,使用另一个系统,这样可以最大程度降低病毒感染窃密的几率。
第五,不要相信任何通过邮件或短信传递的银行卡密码重置信息,如果有疑问,应通过公开电话如95555(银行卡上印的那个)去询问银行客服。
分享到:
相关推荐
密码学与网络安全 原理与实践 密码学与网络安全 原理与实践 密码学与网络安全 原理与实践
网络安全就是理解、管理、控制和缓解机构的关键性资产所面临的风险。 安全领域从业者 所从事的工作就是风险管理。安全并非防火墙、入侵检测系统或者加密,这些只是减少风险的 工具,安全的重点是保护机构的信息。 ...
同态密码技术是近年来在网络安全领域...此外,随着量子计算的发展,传统的加密算法可能会面临被量子计算机破解的风险,而同态密码技术由于其特殊的加密机制,有望成为抵御量子计算威胁的有效手段之一。总体来看,同态
因此,使用这些常见模式的用户将面临风险。 因此,为了提高系统的安全性,不应允许用户按照以下模式选择密码! 该项目确定最常见的密码拓扑。 查看动作除其他OWASP建议之外的其他建议(请参见下文)。 用户设置密码...
当前是一个桌面应用程序,带有加密的键值数据库来存储我的密码。 然后,我将创建一个快速的移动应用程序以随时随地输入密码。 我正在C ++上对其进行编程,因为我希望有一个小型应用程序来存储我的密码和其他秘密...
Web应用所面临的安全性问题以及重要性,同时分析了 Web应用安全特性,给出了十大安全风险的描述并针对每一个安全风险给出了切实有效的防范措施与解决方案,包括注入式攻击、跨站点脚本攻击、错误的认证和会话管理、不...
xxxx有限公司 无线网络安全风险评估报告 xxxx有限公司 二零一八年八月 1.目标 xxxx有限公司无线网络安全检查工作的主要目标是通过自评估工作,发现本局信息 系统当前面临的主要安全问题,边检查边整改,确保信息网络...
信息安全防范体系模型显示安 全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安 全防范活动的始终。 关键词 信息安全;PKI;CA;VPN 1 引言 随着计算机网络的出现和互联网的飞速发展,...
这种事件每天都在发生,我们会听到有人通过伪装成电子通信中的看似一个值得信赖的实体以试图获得敏感信息,如用户名,密码,信用卡信息(包括钱),而这种行为往往出于恶意。我们称其为“网络钓鱼”。并且,如果不...
议题中凌云介绍了一种雪崩算法,并举例:根据密码错误的次数自动调整认证流程的延时,议题干货很多 提纲 我为什么要做反欺诈 1号店反欺诈系统 购物安全 账号安全 广告安全 未来的展望 信用卡安全 交易安全 金融衍生...
当前,网络应用逐渐升级,催生出很多新的技术,例如云计算和...这些技术的发展带来了更丰富的体验,同时也带来了新的安全风险,例如云计算和物联网,由于其本身的特点,加剧了固有的安全风险,也带来了新的安全风险。
痛点:挖掘小数据满足用户需求——面临破产风险, 让乐高转危为安的是一双旧运动鞋。在我看来, 只有结合线上自我和线下自我, 整合大数据和小数据, 才能找到最真实的自己。 在交流过程中, 人们90%是通过非语言...
同时,也应关注新技术新应用加速迭代带来的安全风险、量子计算对传统密码技 术的威胁、数据要素流通面临的诸多挑战以及太空网络安全对抗的不断升级。赛迪研究院 建议从强化新技术新应用技术可靠性与监管力度、健全...
以致给银行和整个国民经济带来巨大的损失与灾难"一个重要的电子银行系统一旦 崩溃!还可能使整个国家以至全球的支付体系陷于瘫痪" 除了计算机犯罪%黑客和计算机病毒攻击层出不穷外!各种&电子战’%&信息战’的呼声 ...
1.2 创建一个示例应用:Bob汽车零部件商店 1.2.1 创建订单表单 1.2.2 表单处理 1.3 在HTML中嵌入PHP 1.3.1 使用PHP标记 1.3.2 PHP语句 1.3.3 空格 1.3.4 注释 1.4 添加动态内容 1.4.1 调用函数 1.4.2 使用date()函数...
1.2 创建一个示例应用:Bob汽车零部件商店 1.2.1 创建订单表单 1.2.2 表单处理 1.3 在HTML中嵌入PHP 1.3.1 使用PHP标记 1.3.2 PHP语句 1.3.3 空格 1.3.4 注释 1.4 添加动态内容 1.4.1 调用函数 1.4.2 使用...
1.2 创建一个示例应用:Bob汽车零部件商店 1.2.1 创建订单表单 1.2.2 表单处理 1.3 在HTML中嵌入PHP 1.3.1 使用PHP标记 1.3.2 PHP语句 1.3.3 空格 1.3.4 注释 1.4 添加动态内容 1.4.1 调用函数 1.4.2 使用...
暴露用于身份验证和访问管理的密码是一种无处不在且持续存在的威胁。 然而,包括多因素身份验证 (MFA) 在内的可靠解决方案面临着广泛采用的问题。 先前的研究表明,强制 MFA 有助于工具采用,但不利于用户的心理模型...
信息安全问题的出现有其 原因,它是一个无主管的"自由王国",容易受到攻击。 Internet的开放性自身结构也决定了其必然具有脆弱的一面。 从计算机技术的角度来看,网络是软件与硬件的结合体。而从目前的网络应用情况...
信息安全问题的出现有其历史原因,它是一个无主管的"自由王国",容易受到攻击。 Internet的开放性自身结构也决定了其必然具有脆弱的一面。 从计算机技术的角度来看,网络是软件与硬件的结合体。而从目前的网络应用...