>科技>>正文

大A站公开致歉,摩拜数据被泄露接近千万条,6招教你捍卫密码安全

原标题:大A站公开致歉,摩拜数据被泄露接近千万条,6招教你捍卫密码安全

最近一条新闻算是把小编的朋友圈给刷爆了

A站公开致歉信

A站的公告称,如果用户在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码,如果用户在其他网站使用同一密码,也需要及时修改。

而2017年7月7日以后有过登录行为的账号,A站称已经升级改造了用户账号系统,账户会自动升级使用强加密算法策略,密码是安全的,但如果用户的密码过于简单,我们也建议修改密码。

对于此次用户数据泄露事件,A站称,“根本原因还在于我们没有把AcFun做得足够安全。为此,我们要诚恳地向您道歉。”

ACFuun

这次中招的同样也有摩拜单车

而A站和膜拜的数据被人打包在暗网以40W的价格进行出售

就连网站也不放过

ACFun和膜拜的shell被挂在暗网公开出售

shell

两个站点的流量超过百万

预估shell的价格也在60-80万之间

很多朋友觉得,A站密码泄露对自己的影响不是特别大,大不了换一个密码

其实不然,任何一个网站的密码泄露,对人的影响是特别巨大的,这就不得不提到黑产的几个词

且听小编细细道来

撞库攻击

撞库攻击

撞库攻击是常见的攻击方式

主要是通过软件,批量的破解网站的密码

比如说这次泄露的是你的A站的密码

很多人在注册论坛和网站的时候,经常使用相同的账号和密码

而黑客会运用你的A站的账户密码去尝试登录其他的网站

而且破解的几率还是相当高的

撞库筛选

从新闻可以看出,从2500万条数据里,能够撞出50万条账号和密码,正确率高达5%,这是相当恐怖的数值

构建社工库

从法律上讲,社工库是违法的,但是总会有人铤而走险去做

社工库是什么?

社工库的英文是Social Engineering Database,也就是社会工程学数据库

谷歌上有一段关于社工的说明是酱紫的:

Social engineering is a non-technical method of intrusion

hackers use that relies heavily on human interaction and often involves tricking people into breaking normal security procedures.

It is one of the greatest threats that organizations today encounter.

社会工程学

而社工库数据的来源,主要就是通过网站泄露的数据整理的

不同的网站,泄露的数据类型不一样,但是通过大数据,可以把不同的网站泄露的数据进行组合和链接,这就是初步的社工库模型

比如说前段时间,某程酒店类网站数据泄露,所泄露的开房数据

比如说某个订票类网站,所泄露的火车飞机票数据

再比如说某某宝购物类网站,泄露的银行卡数据和交易数据

或者某某团团购类网站,泄露的团购数据

黑客在将这些数据进行筛选和整理以后,就能基本确定出一个人的属性

比如说身份证号,姓名,照片,常居住的城市,一般去哪里旅游,年收入范围多少,购物习惯怎么样,喜欢偏好那种类型的电影

如果说再深入一点,还可以获得手机号码,甚至破解出手机号的密码,手机通讯录,人际关系网

这样,基本上的用户画像就出来了

怕怕

而很多人肉搜索技术,就是基于社工库的

生成密码字典

密码字典也是通过大数据生成的

在大数据分析的过程中,黑客发现,人们更倾向于选择那些容易让他记住的东西作为密码

比如自己或亲人的姓名、生日、电话号码等等

有人对用户的密码做过统计,研究他们设置密码时的偏好,并将统计结果绘制成图

61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码

甚至还有2.6%的用户直接把他们的用户名当做密码使用

黑客就根据这些数据,编织成密码字典

提高暴力破解的精准程度

数据来源于果壳

说了那么多,主要就是想让大家明白,数据泄露也是很可怕的一件事

那么被泄露了,我们就只有坐以待毙了吗

其实不是的,小编这就奉上干货

教你提高密码安全级别的几种方法

有效的防止密码被破解

一,密码位数

这里这一个关于长度和破解难度的数据

28

44

不通过字典,只是暴力破解的情况下,一个28位的加密,只需要3天时间

而破解44位加密,确需要550年的时间

可见密码位数对密码安全的影响是很大的

二,密码复杂程度

在信息学中,一般是用“信息熵”来表示含有多少的信息量

我们这里也用信息熵来衡量密码的强度

信息熵计算公式为 H = L * log 2 N,其中,L表示密码的长度,N的取值见下表

密码强度

可以看出,密码的强度H跟密码的长度L和密码的集合个数是呈指数级增长的

举个例子,假设密码长度的单位是10

如果纯数字的话,密码的可能性有:10^10=1E10

如果是纯字母的话,密码的可能性有:26^10=1.4E14 与纯数字相差了1.4万倍

如果是按95的组合的话,密码的可能性有:95^10=5.98E19 与纯数字相差了6E9倍

事实上,我们可以用来当密码使用的字符一共就是 95 个( 26 个小写字母 + 26 个大写字母 + 10个数字 + 33个标点符号)

三,尽量避免全部平台使用相同密码

撞库的基础就是基于各个平台的账号密码是相同的

如果每个平台的账号或者密码有一些小改动

撞库成功的几率也不会太高

一般的账户,也不会有太大价值值得黑客社工的

比如原本账号密码是admin admin

百度的密码改成baiduadmin

网易邮箱的密码改成admin163

或者加上设置的密码的日期,都是可以的

四,减少密码输入次数

指纹支付

比如说支付密码,现在很多手机都带指纹功能了

如果都调成指纹支付,就避免了经常输入密码而泄露的可能性

五,经常改密码

很多软件和系统都会提醒改密码

特别是office系列的软件

这里也建议大家经常修改自己的密码

通常一个密码不要使用超过3个月

一个月到二个月修改一次密码是比较好的习惯

六,避免弱口令密码

弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。

弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等

因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。

以下是关于百度对于安全口令的说明:

1.不使用空口令或系统缺省的口令,因为这些口令众所周知,为典型的弱口令。

2.口令长度不小于8个字符。

3.口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。

4.口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。

每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。

5.口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。

6.口令不应该为用数字或符号代替某些字母的单词。

7.口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。

大家还有没有其他设置密码的经验呢

都可以留意和小编交流交流

老板说超过100条评论就给小编加鸡腿返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 ()
投诉
免费获取
今日推荐