雅虎被入侵的事件影响了 45 万名用户,另外还有 39 万名用户的信息是通过 Nvidia 外泄的。
我们曾经探讨过不安全的密码,以及有关密码的基本问题,但随着最近发生的这些事件,很多用户可能需要再次注意密码安全问题,以及密码的保护方法。
你的密码能通过测试吗?
密码安全该做和不该做的事
1.不要使用常见字或连续数字组成短密码
2.不要在不同平台使用相同的密码
3.要定期更改你的密码
常见问题
LinkedIn、eHarmony、last.fm、英雄联盟(LOL)和雅虎,这些网站有什么共同点?这些网站都曾经是严重的数据外泄受害者,让数百万的用户名和密码被公布在网络上。这些事件告诉我们,大多数网络用户还在使用不安全的密码,有太多短密码(例如 1234);还有用户会用很容易被猜中的密码。从雅虎被黑事件中可以看出,这45万被外泄的用户名和密码主要都是连续数字(例如:12345),或用单字当密码。
不幸的是,这不会是最后一次数据窃取攻击。只要网络犯罪分子可以从偷来的数据中获利,他们就会不断地尝试破解用户帐号。一旦发生这种情况,你对你的密码强度有信心吗?你的密码是否有机会对抗这些潜在的攻击者?
为何我要保护好密码?
密码这玩意就跟人类的历史一样古老。还记得阿里巴巴和四十大盗的名句“芝麻开门!”吗?如果你熟悉这故事,你就知道为什么强盗要用密码来保护他们的宝藏了。
这就是我们现代密码的功能。它是我们网络生活的钥匙。密码保护我们的身份和敏感资料(例如是网络银行身分认证和信用卡资料等)。这些数据对我们来说就像是四十大盗的宝藏一样。而就和现实生活一样,也有现代的小偷或网络犯罪份子会想得到你宝贵的数据。一旦得手,任何人都有可能成为网络犯罪分子的受害者,例如是身份窃盗,甚或是在某些情况下会造成实际的金钱损失。
想想当你选错密码时可能会发生的事情:
·每三秒就有重要数据被窃取。
·有 810 万美国成年人沦为身份诈骗的受害者。
每年信用卡诈骗会耗费持卡人和发卡行高达五亿美元的成本。
密码如何被盗?
·暴力破解攻击。网络犯罪分子会系统地结合字母、数字和符号来尝试破解你的密码。攻击者通常会从字典里的单词开始。他们也会将之前破解来的密码加到可能的组合列表里。每次成功的入侵都会增加他们数据库内可能的密码组合。
·社会工程学攻击。网络犯罪分子会利用流行的新闻、名牌、名人或世界级事件来诱骗用户提供自己的密码。他们也可能利用假比赛、促销或奖品来当诱饵。我们目前看到一些值得注意的威胁包括利用 2012 伦敦奥运会伪造的垃圾邮件,利用 iPhone 4S当幌子的购物网站,还有假装要提供热门电脑游戏暗黑破坏神三下载链接的恶意网站。
·键盘侧录等数据窃取恶意软件。包括臭名昭著的 ZeuS/ZBOT 恶意软件,它们可以记录键盘活动,窃取个人身份资料,特别是金融相关资料。另一个值得注意的恶意软件是 TSPY_GAMETHI.QJB,会窃取某些网络游戏的登录凭证。
·网络钓鱼邮件/网页。用户会收到伪装成银行、信用卡公司或其他知名组织的电子邮件。这些邮件要用户点击进入一个网站更新自己的账户,而按下按钮后会将他们重定向到伪装成正常网站的钓鱼网站。没有察觉的用户可能会受骗,将他们的帐户信息提供给这些网站
·资料入侵外泄。网络犯罪份子或某些团体可能会入侵企业网络,窃取重要的数据,例如客户资料、商业机密等。一些著名组织,例如 SONY、SK 通信,以及雅虎都曾在过去沦为资料外泄资料外泄的受害者。
我该在密码里使用单字吗?
最好避免在密码中使用能够在字典里找到的常用单词、有名的名字或是流行品牌。网络犯罪分子可以很容易就通过暴力破解找出使用常用字词的密码。重点是使用难以破解的字词或句子,你的密码包含许多无意义的词更好。如果使用“IloveTwilightverymuch”作为密码,你可能已经将你的密码交给黑客了。
我该如何建立安全的密码?
有许多不同的方法来建立安全的密码。一种是建立可以记住的句子,将它牢牢记住。仔细想想就会有很多创意,但前提是要能记住。
例如:“Queen and The Beatles are my favorite bands of all time according to a random survey(根据一项随机调查,皇后和披头四是我在任何时候都最喜欢的乐团)”。
使用句子并不是百分百的安全。下一步是取用每个字的字首。你现在有了“QATBAMFBOATATARS”。现在这是你的密码基础了。将它想成一块黏土,你可以利用它来做出任何你想要的密码。
接下来要混合大小写、数字和特殊字符。有些网站可能会限制特殊字符,所以你必须相应地调整密码。但只要网站允许使用特殊字符就用它们,并且最好不要使用连续的数字,例如 1234 或 98765。
结合以上考虑,我们可以将把 QATBAMFBOATATARS 变成 Q@TB@mfB0@T@Tr$。
你现在有了一个安全的密码。
我可以建立一个短密码吗?
不行。以前的规则是建立至少8个字符的密码,虽然专家建议长度最好超过 14 位。只要愿意,你可以设得越长越好。但有些网站有字数限制。只要遵循网站的字数上限就不是问题。但是,密码的强度并不完全由它的长度决定。
我该在每个网络帐号都用同一个密码吗?
不行。这样一来,你建立安全密码的努力就白费了。一旦犯罪份子入侵你的一个帐号,就可以用来破解你的其他帐号。只有当你使用不同的密码时,这才不会是个问题。
我应该将我的名字或个人资料加到密码里吗?
不行。避免将敏感信息(例如身份证号或姓名)加入密码。但是你可以使用例如狗的名字、难忘的旅行地点,或任何随机而不重要的信息。只要确认你是唯一知道这些信息的人就行(编按:如果你常在社交网站透漏这些信息,那最好还是不要用)。
我该定期更改密码吗?
是的。将它养成习惯,定期变更密码以防黑客猜测猜中。
我的密码很难记。可以把它们写下来吗?
不行,将你的密码记在笔记本或纸上容易弄丢或被偷,这会让你的网络帐号马上陷入危险。更何况你还得想办法去找出跟重置密码。
最好的办法是使用密码管理软件,例如趋势科技的 DirectPass密码管理 e 指通(可免费下载试用),可以将密码加密储存在安全的位置。同时可以通过云服务在设备上同步,让你无论在哪个地方都可以进行安全的交易。
一旦黑客拿到我的密码,会发生什么事?
黑客可能会做很多事,例如:
1.将你的电子邮件地址加入他们的垃圾邮件列表。犯罪分子现在可以将垃圾邮件塞满你的信箱,让你更容易成为其他攻击的受害者。
2.利用你的密码进行未经授权的交易。他们现在可以未经你的同意就转帐或购买东西。
3.使用你的身份。网络犯罪分子可以使用你的身份来向执法单位掩盖他们的踪迹。
4.在地下市场兜售你的身份。网络犯罪分子可以将你的信息卖给其他犯罪团体,让他们在其他攻击计划里使用你的资料。例如根据一个地下市场的研究,你的登录凭证可以在地下市场卖到一至五美元。想想看,如果坏人每天拿到超过几百个帐号会怎样。
从网络偷来的资料值多少钱?
总结一下我们都学到了什么,在建立密码之前,你需要考虑:
密码检查清单
1、使用不常见的单字
2、使用特殊字符和数字(非连续)
3、使用至少14个字符
4、在每个网络帐号使用不同的密码
5、定期变更新密码
6、使用密码管理工具记住密码