你的密碼靠譜嗎?12種方法保護(hù)賬戶安全
過(guò)去和現(xiàn)在都不斷在上演的信息泄漏事件,已是一個(gè)老生常談的話題,可以預(yù)見在將來(lái)的一段時(shí)間內(nèi),依舊會(huì)是讓人們頭疼的事情。
剛剛邁入2020年不久,此類安全事件就已頻發(fā),前有國(guó)內(nèi)鄭州市某民辦高校近兩萬(wàn)名學(xué)生信息遭泄露,其中涉及身份證號(hào)等20多項(xiàng)信息;臺(tái)灣省發(fā)生重大個(gè)人數(shù)據(jù)泄露事件,84%公民信息出現(xiàn)在暗網(wǎng);后有美國(guó)教育機(jī)構(gòu)供應(yīng)商 Active Network為學(xué)校提供的會(huì)計(jì)軟件Blue Bear 被黑客入侵,拿走其支付卡數(shù)據(jù);美國(guó)明尼蘇達(dá)州 Alomere Health 醫(yī)院被曝該院兩名員工的電子郵件賬戶遭到黑客入侵,發(fā)生數(shù)據(jù)泄露事件。
從這些數(shù)據(jù)泄露事件中,我們可以發(fā)現(xiàn):首先從受泄露影響的人數(shù)看,少則幾萬(wàn)人,多則千萬(wàn),比如美國(guó) Alomere Health 醫(yī)院的信息泄露影響近 5 萬(wàn)人,而臺(tái)灣省則泄露 84%公民信息;其次,泄露數(shù)據(jù)內(nèi)容詳細(xì),維度多,例如鄭州高校數(shù)據(jù)泄露涉及20多種個(gè)人信息;同時(shí)數(shù)據(jù)泄露事件愈加頻繁,不僅個(gè)人,企業(yè)、組織機(jī)構(gòu)和國(guó)家政府都不斷陷入數(shù)據(jù)泄露,而且橫跨金融、教育、醫(yī)療到科技,涉及各行各業(yè),影響深遠(yuǎn)。
這些案例令人觸目驚心,然而截止目前,最大的數(shù)據(jù)泄漏原因依舊是來(lái)自配置不當(dāng)?shù)南到y(tǒng),其中就包括身份驗(yàn)證和密碼薄弱。
弱密碼存在的巨大隱患,和我們每一個(gè)人息息相關(guān),今天就讓我們來(lái)聊一聊如何 “遠(yuǎn)離弱口令,保護(hù)信息安全。”
什么是弱口令?
如果你的密碼設(shè)置得很好“猜”,我們就可以說(shuō)這個(gè)密碼的強(qiáng)度很“弱”,就是一個(gè)“弱口令”。
1. “弱口令”具體長(zhǎng)什么樣子呢?
123456常年霸占弱密碼榜首
根據(jù)splashdata的統(tǒng)計(jì),2019 年的十大弱密碼仍是那幾個(gè)熟悉的面孔,和 2018 年的榜單做個(gè)比較,上榜的密碼大同小異,雖然“sunshine”跌出 Top 10 榜單,但也仍位居第30名,新進(jìn)榜的還有更弱的“123123”, “123456”依然穩(wěn)穩(wěn)拿下弱密碼冠軍的寶座。
這些高頻出現(xiàn)的口令,往往就是黑客最偏愛(ài)“猜測(cè)”的口令,也就是典型的“弱口令”,弱口令還包含空口令和通用口令和一些用戶名相關(guān)的口令(大家可以看看自己平時(shí)是不是也經(jīng)常設(shè)置這些密碼)。
2. 空口令和通用口令
“空口令”很好理解,就是完全不設(shè)置口令。最常見的是在開發(fā)測(cè)試環(huán)境,搭建的數(shù)據(jù)庫(kù)(比如MySQL、memcache、redis、mongoDB等等),為了方便,完全不設(shè)置任何密碼,登錄的時(shí)候不需要停下來(lái)輸入密碼的感覺(jué)真是太愜意了,不過(guò)黑客也不需要輸入密碼就能偷取你的隱私,會(huì)更愜意呢。
另一種情況,管理人員可能已經(jīng)意識(shí)到密碼強(qiáng)度太弱不好了,于是設(shè)置了一個(gè)字母+數(shù)字+特殊字符的口令,比如“complexPWD@1984++這樣的口令,看上去不那么容易“猜”得出來(lái)了,可惜,整個(gè)團(tuán)隊(duì)的人都在用,時(shí)間長(zhǎng)了,團(tuán)隊(duì)人員變動(dòng),或者某個(gè)成員個(gè)人電腦、服務(wù)器被黑,都會(huì)導(dǎo)致團(tuán)隊(duì)的通用口令泄漏。因此,使用靜態(tài)的通用口令依然要被視為“弱口令”。
3. 和用戶名相關(guān)的口令
有些人會(huì)把密碼設(shè)置得跟用戶名有一定的關(guān)系,比如:用戶名是小明,密碼是小明的生日、手機(jī)號(hào)、紀(jì)念日、父母的生日;也有人用自己的車牌號(hào)碼,家庭住址門牌號(hào)碼,這些常見的“密碼套路”,極容易被破解。因?yàn)楸举|(zhì)上還是和你的一些基本信息有關(guān)聯(lián),別以為黑客就不知道了。黑客可能擁有某些網(wǎng)站的數(shù)據(jù)庫(kù),可以直接查詢你的這些信息,就算不通過(guò)數(shù)據(jù)庫(kù)查詢,枚舉所有的生日、手機(jī)號(hào)(尤其針對(duì)某些地區(qū)的號(hào)碼段范圍)其實(shí)也花不了多少時(shí)間。
除了密碼設(shè)置外,還有一些人們?nèi)菀资韬雒艽a的場(chǎng)合。
4. 在使用內(nèi)網(wǎng)時(shí)
有些人具備一些基本的安全常識(shí),不會(huì)在公開場(chǎng)合設(shè)置“弱口令”,但是在公司內(nèi)部,尤其是測(cè)試環(huán)境,又很容易松懈,認(rèn)為內(nèi)網(wǎng)是 “可信”的。
這就too young too simple了,誰(shuí)能保證內(nèi)網(wǎng)就不被黑客滲透呢?一旦黑客進(jìn)入內(nèi)網(wǎng),我們的“可信的內(nèi)網(wǎng)”就變成了“赤裸的內(nèi)網(wǎng)”……
大公司內(nèi)網(wǎng)滲透的案例,業(yè)界每年都會(huì)發(fā)生十多次或者更多,所以信任內(nèi)網(wǎng)并不是一個(gè)正確的安全態(tài)度。
還有很多同事說(shuō),我的“測(cè)試”機(jī)器,上面沒(méi)有什么“重要”數(shù)據(jù),所以弱口令就弱吧,沒(méi)什么風(fēng)險(xiǎn)的。
這又一次too young too simple了,黑客通過(guò)弱口令拿到的,不僅僅是你機(jī)器上的“測(cè)試數(shù)據(jù)”,而是等價(jià)于你服務(wù)器享有的一切受信權(quán)限:
- 你這臺(tái)服務(wù)器可以訪問(wèn)其它的敏感數(shù)據(jù),現(xiàn)在黑客也擁有了同等的權(quán)利
- 你這個(gè)數(shù)據(jù)庫(kù)可以讀寫服務(wù)器上的其它敏感文件(比如MySQL可以loadfile讀取機(jī)器上的/etc/passwd文件,或者 into file 寫入到任意可寫路徑,造成進(jìn)一步入侵)……
尤其是疫情期間大多數(shù)企業(yè)都采用遠(yuǎn)程辦公,企業(yè)安全的脆弱性問(wèn)題無(wú)疑被放大了,如果說(shuō)身份與訪問(wèn)管理是數(shù)據(jù)安全的“重災(zāi)區(qū)”,那么“弱密碼”則無(wú)疑是“震中”。
倘若處理不慎,很可能因?yàn)樽约菏侨趺艽a被輕易破解而導(dǎo)致黑客橫向攻擊了單位內(nèi)網(wǎng),拿走核心敏感文件而帶來(lái)巨大的名譽(yù)和經(jīng)濟(jì)損失。
5. 在使用多個(gè)平臺(tái)時(shí)
《我國(guó)公眾網(wǎng)絡(luò)安全意識(shí)調(diào)查報(bào)告》顯示:
- 定期更換密碼的被調(diào)查者僅占18.36%,而遇到問(wèn)題才更換密碼的被調(diào)查者有64.59%,有17.05%的被調(diào)查者從來(lái)不更換密碼。
- 調(diào)查顯示,大多數(shù)人為了記憶方便,公眾多賬號(hào)使用同一密碼的情況高達(dá)75.93%,特別是青少年多賬號(hào)使用同一密碼的比例高達(dá)82.39%。多賬戶使用同一密碼更容易遭到黑客攻擊,尤其是會(huì)面臨被“撞庫(kù)”的重大風(fēng)險(xiǎn)。所謂“撞庫(kù)”,即黑客攻破某一網(wǎng)站后,會(huì)用獲取的賬號(hào)密碼去測(cè)試其他平臺(tái),那些多個(gè)平臺(tái)用一套賬號(hào)密碼的用戶就會(huì)中招,甚至可能清空你的銀行卡。
我們之前曾推薦過(guò)幾個(gè)工具網(wǎng)站給大家,可以戳鏈接檢測(cè)你的用戶名、密碼、電子郵箱地址是否已被泄漏?
如果你或者身邊有人不慎泄露個(gè)人信息了,往下看,幾招教你養(yǎng)成好的安全習(xí)慣。
怎么保護(hù)我們的密碼
1. 設(shè)定多套密碼
安全專家建議,可以為自己設(shè)定多套密碼,東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院副教授宋宇波說(shuō):“重要系統(tǒng)(比如網(wǎng)銀等和隱私密切相關(guān)的)和非重要系統(tǒng)(一些論壇、查閱為主的網(wǎng)頁(yè))的密碼要分開,工作、生活、和理財(cái)賬戶使用不一樣的密碼,這樣能減少風(fēng)險(xiǎn)。”
2. 不要到處亂貼自己的密碼
工作中見過(guò)不少小伙伴,由于密碼難記,于是寫在便箋上,貼在座位或者顯示器附近。方便了自己,也往往方便了陌生人。《入侵的藝術(shù)》里,凱文.米特尼克就這樣獲取過(guò)某銀行的密碼然后入侵了進(jìn)去。
3. 不要在公共場(chǎng)合大聲地說(shuō)出密碼
有時(shí)候在電梯里、公交車上,聽到敬業(yè)的同事處理工作事宜,會(huì)在電話里大聲的透露自己的密碼。在電話那頭的同事獲得密碼的同時(shí),如果附近有居心叵測(cè)的人,也同樣會(huì)獲得這個(gè)密碼。
4. 不要明文存儲(chǔ)自己的密碼
筆者曾經(jīng)遇到過(guò)一個(gè)真實(shí)的案例,有同事把存儲(chǔ)了密碼和很多工作相關(guān)信息的txt文件(包括寫在記事本里、郵件里),打包在網(wǎng)站根目錄下,命名為readme.txt,結(jié)果這個(gè)文件被外部人獲取到了……
5. 采取統(tǒng)一認(rèn)證
所謂統(tǒng)一認(rèn)證,就是將需要登錄的若干個(gè)系統(tǒng),整合在一個(gè)地方。 這個(gè)時(shí)候,你就不再需要記憶很多站點(diǎn)的密碼,集中記住一個(gè)就夠了。
比如能夠用QQ或微信登錄的地方,就不用再去另注冊(cè)一個(gè)用戶名和密碼了。
6. 重要系統(tǒng)不要只用密碼認(rèn)證
比如大家在登錄網(wǎng)上銀行的時(shí)候,可能還需要結(jié)合短信驗(yàn)證碼、動(dòng)態(tài)口令令牌、手機(jī)APP掃描等多種手段。
即使密碼真的泄漏了,如果重要的系統(tǒng)必須同時(shí)滿足2,3種驗(yàn)證手段才允許登錄,那么這個(gè)系統(tǒng)的安全性自然會(huì)更高一點(diǎn)。
7. 使用復(fù)雜的口令
復(fù)雜口令,首先密碼的長(zhǎng)度要長(zhǎng),至少8位以上。比如你的密碼是6位純數(shù)字的782341 ,黑客寫個(gè)程序從 000000 逐個(gè)猜到 999999 ,最多猜100w次,就能把你的密碼“猜”出來(lái),而你的密碼是8位,它就要猜1億次。
其次,密碼不要純粹的使用數(shù)字或字母,而是要數(shù)字、字母、特殊字符夾雜著。這樣,如果你的密碼是8位,每一位可以使用26個(gè)大寫字母、26個(gè)小寫字母、10個(gè)數(shù)字、若干個(gè)特殊符號(hào),那么黑客就要猜測(cè)至少 N的8次方,N大于72,這可是一個(gè)更大的數(shù)字,很多黑客沒(méi)有耐心這么猜下去的。
8. 使用替代語(yǔ)
有小伙伴或許要問(wèn):“你說(shuō)的都對(duì),可是讓我想個(gè)復(fù)雜的密碼,我腦子一片空白,該怎么做才能滿足復(fù)雜的要求呢?”建議你嘗試使用諧音等替代語(yǔ)作為密碼。
如果你熱愛(ài)文學(xué)
▽
如果你口才不錯(cuò)
▽
如果你英語(yǔ)很好
▽
這樣只有你懂的代替語(yǔ),別人即使看到了,也是一頭霧水。
9. 使用屏保/鎖屏密碼
一定要設(shè)置屏保密碼,假設(shè)你突然被叫走,你的電腦不知道會(huì)被誰(shuí)使用,重要的文件可能會(huì)被拷走。手機(jī)上的鎖屏密碼也是一樣,所以設(shè)置屏保/鎖屏等手勢(shì)密碼很重要,可以采用一些復(fù)雜但形象的方式,比如:
后羿射日
▽
諸葛連弩
▽
這樣可以給你的設(shè)備雙重的保障。
10. 使用密碼生成器工具
如果你不愿自己思索密碼,可以搜索“密碼生成器”:能隨機(jī)生成一定程度的復(fù)雜密碼。
近日,蘋果公司就發(fā)布了一組有關(guān)密碼的免費(fèi)資源和工具,她們向密碼生成器提供了當(dāng)今流行網(wǎng)站的密碼規(guī)則,以便讓密碼生成器在網(wǎng)站密碼規(guī)則范圍內(nèi)盡可能生成高強(qiáng)度的密碼,這些工具資源統(tǒng)稱Password Manager Resources,目前已經(jīng)在Github上開源,大家可以去嘗試。
11. 使用密碼管理器工具
有時(shí)我們的密碼是設(shè)置的挺復(fù)雜,可是一轉(zhuǎn)頭自己也忘了密碼是什么,這種時(shí)候,可以借助一些專業(yè)的密碼管理軟件,把各個(gè)地方的密碼管理起來(lái),下一次想不起密碼的時(shí)候不用抓耳撓腮,只要復(fù)制粘貼就可以了。
密碼管理器能夠幫助你解決記憶的難題,還能保證較高的安全性,這方面的軟件有很多,例如:KeePass DX,Password Safe和KeePass,Easypass等。
當(dāng)然,密碼管理器也有一個(gè)密碼,這個(gè)密碼叫做主密碼,你必須牢記主密碼,并且為了防止遺忘,最好把主密碼記錄在其他私密的地方。
12. 定期更換密碼
即使你擁有了一個(gè)復(fù)雜的密碼,也不要長(zhǎng)時(shí)間使用,因?yàn)橛袝r(shí)候密碼可能泄漏了我們卻不知道。面對(duì)這種情況,定期更換就是一個(gè)很好的策略,哪怕我們的帳號(hào)密碼一時(shí)間被黑,泄露出去了,修改了密碼之后,攻擊就失效了。
人在江湖飄,哪能不挨“盜”?或許沒(méi)有什么能保證絕對(duì)的安全,使用指紋解鎖、面部解鎖也不例外,但正因?yàn)槿绱耍覀兤綍r(shí)才要多注意密碼安全,多學(xué)習(xí)保護(hù)措施,并且及時(shí)去實(shí)踐操作,這樣才能在面對(duì)這些可能發(fā)生的意外時(shí),更加的從容淡定,更好的解決問(wèn)題。
