美國信息安全網(wǎng)站SecurityMagazine文章對我們可能面對的個人信息泄露等安全問題進(jìn)行了分析,介紹了我們密碼泄露的可能途徑、各種等級的加密措施,以及我們可以采取的應(yīng)對方法,對我們加強(qiáng)網(wǎng)絡(luò)安全意識大有裨益。
為什么要擔(dān)心密碼安全
我們現(xiàn)在使用互聯(lián)網(wǎng)做各種事情:網(wǎng)上銀行、股票交易、在線購物、網(wǎng)上繳費、社交網(wǎng)絡(luò)、網(wǎng)絡(luò)游戲、在線娛樂以及網(wǎng)絡(luò)科研等等。在過去的幾年里,出現(xiàn)了大量的社交網(wǎng)站,如Facebook、Linkedin、Twitter、Instagram、Tumblr等等。我們在社交網(wǎng)站上分享各種各樣的個人信息:音樂、圖片、視頻,不一而足,而其中大部分信息,是我們的個人隱私,是我們希望受到保護(hù),不被泄露的部分。
不幸的是,上述的網(wǎng)站無一例外都被黑客“攻陷”過。黑客把竊取到的數(shù)以千計的用戶帳戶、密碼以及其他個人信息公布到了網(wǎng)上。如果你的密碼從來沒有被竊取過,其實那也只是早晚的問題。
如今,我們有許許多多的網(wǎng)上帳戶,相應(yīng)的,我們需要記憶和存儲為數(shù)眾多的登錄密碼。如果你和大多數(shù)人一樣,為了便于記憶,在所有網(wǎng)站上使用的都是相同或者相似的一組密碼。那么基本上你的密碼的安全程度等于其中安全性最弱的那個網(wǎng)站的安全程度。如果有黑客攻陷了那個網(wǎng)站,你的身份就可能被盜用。
竊取了你的個人信息的人可以用你的名字購買物品和服務(wù)。一個知道了你的帳戶和密碼的黑客幾乎能用你的身份做到你能做的任何事情,包括劫持你的云存儲帳戶、進(jìn)入你的銀行帳戶、獲取你名下的信用卡、申請新的駕駛執(zhí)照或護(hù)照,之后就能輕松地從你的銀行帳戶取錢了。
身份盜用案件的發(fā)生頻率呈上升趨勢,每天有數(shù)千人的身份遭到盜用。加上網(wǎng)站被黑的風(fēng)險,還有我們每個人都可能偶爾將手機(jī)、平板放在不該放的地方、丟失或者被偷,這些都增加了我們的個人信息被盜的幾率。根據(jù)調(diào)查,在過去的五年里因為信息丟失或被盜而受到影響的有10億人。
暴露個人信息
公布的個人信息越詳細(xì),就越容易成為身份盜用的受害者。只要有網(wǎng)絡(luò)連接,黑客可以在世界上的任何地方作案,而這些地方基本上是追蹤不到的。黑客慣常的做法是花錢購買泄露的數(shù)據(jù)。你可能聽說過歷史上最大的一次數(shù)據(jù)泄露事件,是由一伙俄羅斯黑客所為,代號CyberVor。該黑客團(tuán)伙從42萬個網(wǎng)站竊取了12億組用戶名和密碼,以及5.4億個電子郵件地址。
被他們竊取了用戶信息的網(wǎng)站很可能包括你平時使用的網(wǎng)站。CyberVor很可能會按照單個帳戶為計費單位將竊取到的信息賣給有不法企圖的黑客。這些不法黑客每年給個人和公司造成數(shù)十億美元的損失。所以,你或許應(yīng)該想想如何保護(hù)自己了。
黑客的手段
黑客獲取龐大個人信息的一種方法是通過使用結(jié)構(gòu)化查詢語言(SQL),這是一種主流數(shù)據(jù)庫都在使用的語言。進(jìn)行大規(guī)模的密碼盜取一般是利用系統(tǒng)的安全漏洞,通過找回密碼或者暴力破解的方式實現(xiàn)的。當(dāng)類似CyberVor的黑客團(tuán)伙把盜取的信息出售時才是噩夢的開始。
黑客購買到你的郵箱密碼或者社交網(wǎng)絡(luò)密碼后,就可以通過找回密碼的方式將你的別的網(wǎng)站的密碼重置,或者利用網(wǎng)站之間共用登錄信息的特性獲取你在其他網(wǎng)站的賬戶信息。一旦黑客重置了你的密碼,他就獲得了你的帳戶的最高權(quán)限。
你的密碼包含了大小寫字母、數(shù)字和特殊字符,只有你自己才知道。這樣的密碼是否真的安全呢?許多人為了方便常常讓瀏覽器記住密碼,殊不知這為黑客非法入侵你的電腦、帳戶以及網(wǎng)站提供了很大便利。
那么黑客破解你的密碼有多容易呢?計算機(jī)計算能力的飛速提升使得密碼破譯的速度突飛猛進(jìn)。但是,暴力破解對于復(fù)雜的密碼還是需要相當(dāng)長的時間。黑客盜取密碼的另一種方法是靠猜,包括鍵盤記錄程序、釣魚軟件、翻垃圾箱、偷看等手段,當(dāng)然還包括直接從CyberVor這樣的團(tuán)伙購買密碼。當(dāng)然,最經(jīng)濟(jì)的方法就是使用網(wǎng)上現(xiàn)成的密碼破解軟件。
防范措施
針對黑客的種種手段,我們最好能夠為不同的網(wǎng)站設(shè)置不同的復(fù)雜密碼,并且定期更新。
微軟的技術(shù)安全小組介紹說:“創(chuàng)建難以破解的密碼的途徑有很多,其中之一就是用字符或數(shù)字替換密碼中的字母。本著好記的原則,可以用外形相似的數(shù)字或字符替換單詞中的某些字母。”另外,密碼越長,破解密碼需要的時間也越長。
一種強(qiáng)度更強(qiáng)的加密方式是二元認(rèn)證法,將密碼拆分存放在兩個設(shè)備的系統(tǒng)中,這就意味著黑客需要破解兩次密碼。在此基礎(chǔ)上更強(qiáng)的是多元認(rèn)證法,這種方法多為軟件供應(yīng)商、電信機(jī)構(gòu)、政府及金融機(jī)構(gòu)所采用。更高級的加密手段是生物特征識別技術(shù),常見的有指紋識別和面部特征識別。
如果你真的關(guān)心自己的密碼,你應(yīng)該按照上面提供的建議重新審視自己的密碼系統(tǒng),或者使用生物特征識別技術(shù)或多元認(rèn)證技術(shù)為你的公司或者個人信息保駕護(hù)航。