现代人的密码烦恼和密码中暗藏的风险

密码、密码、还是密码……今天的现代人,离得开密码吗?信用卡要密码、上网购物要密码、刷微博要密码、登录OA系统要密码、打开邮箱还要密码……当你的人生由一串串的账号和密码组成时,烦恼和风险也随之而来。该怎样保护你们呢?我的密码。No.1 现代人的密码烦恼因为总担心自己记不住,家庭主妇牟女士将生活中的所有密码都记录在一个小本子上,然而一天她外出购物回来后发现密码本丢了,当街便晕厥了过去。类似的密码烦恼还有很多。长江、黄河、苏州河轮番上高女士是一家大型国营企业的员工,登录企业内部的OA系统,查看公司重要新闻、工作流程进度是她每天都必须做的事情。出于安全考虑,这家企业的OA系统要求员工每3个月必须更换一次密码,密码不仅需要有一定的复杂程度,而且不能与前三次的密码相同。高女士对此颇为烦恼,每隔三个月,系统提示修改密码时,她就要苦思冥想,找一个和之前不同的密码,可设置密码不就是那几个数字吗?自己生日、儿子生日、老公生日、门牌号码……换的次数多了,还真凌乱了。有几次,她都因为输错密码导致账户被锁,不得不拜托IT部的同事解决。后来,同事教了她一个窍门,密码的数字设置为固定常用的几位,后面则把“长江、黄河、黑龙江、苏州河”轮番跟上,每三个月换一条“河”,就算记不清,最多试错三次,就搞定了。丢一个密码 丢一串网站“7月末的时候我在某家电子商务网站的账户密码就泄露了,直到现在才发现,期间没有任何提示。而且手机和邮箱还被别人绑定了密保。”
网友“心岸”最近比较郁闷,他在某个电商平台里预存的350元被盗号人花得精光,网站里的信息显示,当时买了一双李宁鞋、一个移动电源和一张4G的存储卡,上面的收货地址填的是广东北部某农场,连门牌号都没有。至今“心岸”仍然不知道,自己的密码到底是被这家电商泄露了呢,还是因为自己在其他网站的密码账号被盗导致的连锁反应。因为在不少网站上,他都用同一个邮箱和密码登录。一旦其中某一个账号密码被盗,相当于这些网站的个人信息全部泄露。No.2 密码中暗藏的风险不久前,一家名为“365社工库”的网站公开贩卖用户隐私信息,500元可以买到100万条个人信息。为了体现网站的“能力”,“365社工库”甚至提供反向验证服务,让购买者验证自己的邮箱密码到底有没有被泄露。这种肆无忌惮的“黑客”行为,引发人们对网站账号密码保护的深思。社工库破解技术高超所谓社工库,是指社会工程学库,它利用已经获取的用户信息,对账户进行
针对性破解。一旦黑客知道一个账户后,就可以得到其他更有价值的账号。即使密码不尽相同,黑客利用该密码作为关键字进行暴力破解,也会大大提高破解率。“社工库扫描与常规破解不同的是,它会刻意收集某
个用户的所有个人信息,譬如手机号码、生日、买车、公司注册等,将这些信息汇总到一起后,黑客会利用工具进行综合处理,通过排列组合各种信息的形式来破解账户密码。”为网站提供密码安全服务的北京明朝万达科技有限公司董事长王志海告诉《IT时报》记者,这种社工库扫描破解的形式,成功率高的惊人,“破解率往往在20%以上,曾经有个案例,在每五张信用卡中,就有一张能被破解。”网站口令保护处于初级水平事实上,国内各类网站在保护用户账户密码安全性方面都存在着各种问题。今年5月,中国软件评测中心联合北京大学互联网安全技术北京市重点实验室发布了《网站用户口令处理安全性外部测评报告》,在
抽取了门户、邮箱、电子商务、招聘类、婚恋类、游戏类、论坛、博客、微博共9大类100个网站,对其用户口令处理进行了安全性测评后发现,仅有8个网站采取了充分的安全措施对用户口令做处理,更有85个网站直接拿到用户的口令原文。测评负责人之一,北京大学互联网安全技术北京市重点实验室高级工程师龚晓跃表示,“整体上看,我国网站在用户口令保护方面还处于一个很初级的水平,亟待提升。”中小网站成泄密高发区“现在很多中小网站都是用开源平台来做的网站架构,安全方面存在着很多漏洞。黑客只要抓住一个漏洞就能对其破解,甚至几分钟内就能爆库。”王志海对记者介绍道。国内的大部分中小网站受硬件和软件资源的成本限制,对防火墙、安全编码等安全投入都不够大,这使得黑客轻而易举就能破解网站的数据库和存储的用户密码,即圈子里所说的“爆库”。游侠安全网站长张百川告诉记者,“现在很多大网站都在建立分站,频道栏目也越来越多,有些频道,比如邮箱登录时安全措施做得比较好,但有些频道做得比较差,用同一个账号密码登录这些频道时,
就会有可能带来安全问题。”同时,在密码的存储和保护上,许多网站也掉以轻心,导致被爆库后黑客可以轻易获取密码。王志海指出,虽然现在很多网站虽然都采用了MD5这种流行算法进行加密,但做得非常简单,没有加入随机值等保护形式,很容易被破解。赛门铁克诺顿工程师张扬则表示,从以往的密码泄露问题来看,有很多是因为管理员将密码以明文形式存放在数据库里面,当黑客攻击网站获取数据库权限之后,对用户密码是一览无遗。
内鬼做乱也是重要隐患“除了外部攻击之外,业内很多网站泄密还是内鬼所为。”王志海在接受记者采访时,语出惊人。他表示,在一些竞争激烈的行业内,企业内部人员流动性频繁,有时出于行业间的相互竞争,某些从业人员会将掌握的数据库信息倒卖给其他公司。而有些网站的内部人员为了牟利,会将信息倒卖给做信息收费服务公司,导致用户信息外流。张百川了解的情况是,有时候内鬼并不一定就是企业的内部人员,而是为这些企业做外包的公司。张百川讲述了这样一个案例,陕西某家运营商将计费系统项目部分外包给了一家当地的IT企业。结果实施该OA项目的IT企业某员工心怀不轨,白天正常上班,晚上利用自己获得的访问权限,将运营商的用户数据库下载到自己的电脑中,“最终这人拿到了陕西7个地市1394万手机用户信息,卖了3万元,而买家靠这个数据库群发短信,最终赚了一百多万。”No.3 密码的选择题:便捷or 安全高女士的烦恼是,为什么密码总是要改?“心岸”的烦恼则是,同一个密码为什么不安全?在两个人的烦恼背后,是现代人的密码人生中,在便捷性和安全性之间的选择难题。目前有不少解决这种密码难题的方式,但同样存在两种选择的纠结。联合登录的利与弊如今网民在登录一些网站时,往往可以直接使用微博、QQ的账号密码登录,这被业内称为“联合登录”。京东商城的技术负责人向《IT时报》记者表示,联合登录采用的是一种称为oAuth的技术,第三方网站并不能触及到用户的账号信息,“当外部联合登录网站发生泄密状况时,可以第一时间关闭该泄密网站的联合登陆方式来保证用户的安全。”张百川则认为联合登录利弊参半。“好处是简化了用户注册的过程,有些安全技术能力不强的中小型网站,通过联合登录的方式,相当于将自己的用户密码安全托管给了微博、QQ,从而避免从自己这里泄露了用户密码的可能。但另外一方面,如果一旦微博、QQ的密码泄露后,也会造成连锁反应。”而上海众人网络信息科技CEO谈剑锋非常反对这种方式,他同样担心泄密后产生连锁反应。新的密码认证方式或可行事实上,尽管高女士的密码保护方式略显繁琐,但在目前的技术水平下,还算是个不错的保护方式。据记者了解,除了强制定期更改密码之外,不少大型外资企业都给员工配备了动态令牌,让其在登录企业内网时使用。安全宝是一家提供安全检测服务的企业,该公司联合产品副总裁吴翰清则认为,双因素认证(双因子认证)是一个相对较好的办法。双因素认证在登录时除了要求输入用户名和密码之外,还会要求用户输入移动终端所收到的确认信息,“Google和facebook前些时都加强了这方面的功能。通过数据分析来确保登录安全也是一个方面,但这个方面大家做得还都不够好。” 吴翰清告诉《IT时报》记者。今年IT新锐之一谈剑锋的众人网络提供的就是一种采用时间同步技术的双因素
认证系统,由动态密码令牌和认证软件系统组成,“在用户登录验证时,要输入我们的动态令牌上随机变化的动态口令数字。用户的密钥安全存储,能够防止用户信息的泄露。而动态密码变化无次序、无规律,能够解决由密码泄密导致的入侵问题。”京东商城技术负责人表示,正在逐步流行的二维码和生物识别技术,将会是更加便捷和先进的身份认证技术。国内将
建立网站安全标准中国软件评测中心副主任、北京赛迪信息技术评测有限公司执行总裁高炽扬表示,由中国软件评测中心牵头承担的信息系统个人信息保护标准体系建设工作,将会涉及相关标准和规范的建立。中国软件评测中心的工作人员告诉《IT时报》记者,该工作有了初步成果,总纲性的指导性标准已经获批,12月底将正式发布,明年2月1日起正式执行。该工作人员还表示,按照这个标准,他们通过第三方机构对网站的安全性和用户个人信息保护进行评估,“评估打分后会公布出来,由此让用户了解网站的安全性和个人用户保护情况,让用户了解、选择使用更加安全的网站。”

时间: 2024-11-05 19:04:10

现代人的密码烦恼和密码中暗藏的风险的相关文章

现代人的网站密码烦恼:中小网站成泄密高发区

中介交易 SEO诊断淘宝客 站长团购 云主机 技术大厅 IT时报记者 李栋 林斐 密码.密码.还是密码--今天的现代人,离得开密码吗?信用卡要密码.上网购物要密码.刷微博要密码.登录OA系统要密码.打开邮箱还要密码--当你的人生由一串串的账号和密码组成时,烦恼和风险也随之而来.该怎样保护你们呢?我的密码. No.1 现代人的密码烦恼 因为总担心自己记不住,家庭主妇牟女士将生活中的所有密码都记录在一个小本子上,然而一天她外出购物回来后发现密码本丢了,当街便晕厥了过去.类似的密码烦恼还有很多. 长江

javascript-使用JavaScript讲TXT中的用户名,密码插入到数据库中

问题描述 使用JavaScript讲TXT中的用户名,密码插入到数据库中 使用JavaScript讲TXT中的用户名,密码插入到数据库中,希望给个源码例子看看 解决方案 js在客户端运行接触不到数据库,一般是js获取用户输入,用ajax方式post到你的java后端,java得到参数插入数据库. 解决方案二: 你是光学前端吗?如果你学过后端编程,可以通过后端程序进行插入数据 解决方案三: javascript没有和数据库直接相连的驱动,因为javascript代码很容易被篡改,所以一点都不安全,

英国人开始把网络密码写在遗嘱中

据新华社消息 有没有想过,如果突然离世,你在网上存储的照片.电影和信件何去何从? 英国一项调查显示,不少人有网络"财产",越来越多的人把自己的网络密码写在遗嘱中,将"数字遗产"留给亲人. 把网络密码写进遗嘱 知名云计算公司Rackspace对2000名英国成年人所做调查显示,调查对象中,四分之一在网上存储"特殊照片":十分之一有珍贵的视频资料:另有十分之一有与爱人的情书. 调查对象中,53%在网上有财产,包括付费购买的音乐.电子书.应用程序.电影

jsp实用户登录页面(如果用户输入用户名或密码三次错误则在规定时间内不能再登录,规定的时间放在txt文本中如【time=10】,用户名密码放在mysql数据库中

问题描述 jsp实用户登录页面(如果用户输入用户名或密码三次错误则在规定时间内不能再登录,规定的时间放在txt文本中如[time=10],用户名密码放在mysql数据库中) 解决方案 解决方案二:该回复于2011-03-21 13:28:54被版主删除解决方案三:该回复于2011-03-21 16:54:46被版主删除

江南天安邓小四:浅谈基于国产商用密码技术在云计算中的应用

在第八届中国云计算大会上,参会者.包括笔者自己都深有感触的一点就是,云计算大会越来越"接地气",讨论的内容早已从讨论云计算概念和技术,到如今的"用实际应用说话"的阶段了,同时,云计算实践的一线厂商的积极参与,让我们看到了云计算现在开始慢慢凸显的能力和价值. 在本届云计算大会上,云计算大数据安全论坛盛况空前,论坛聚焦云计算大数据安全话题,邀请了云计算大数据安全专家.云安全提供方及云计算用户.白帽子现身说法,一起交流云计算大数据安全的实践经验.随着云计算在企业的应用加快

帮助用户解决登录困难:忘记密码和找回密码的设计

文章描述:注册那点事之--忘记密码?还是找回密码? 上次我们聊到了关于用户来到你的网站,如何让用户心甘情愿注册,以及如何在注册中为用户设置与产品定位相符的注册填写项.今天我们来聊一个看似平淡无奇而事实上和每个用户账号息息相关的问题:用户无法登录自己的账号时该怎么办? 用户无法登录自己的账号,看到产品界面上硕大的红色"用户名或密码错误"之类的提示自然是心急如焚.好在当前涉及用户账号的产品都有完备的账号安全机制,无论用户的用户名忘了,还是不记得密码了,都提供了完善的应急机制.虽然看起来各个

Windows8使用图片密码和pin密码登陆

  图片密码和pin密码是Windows 8新增的一种登录方式,在Windows 8开发者预览版中大家已经可以体验到这一新功能.那又是如何运用的呢? 按win+I键然后回车,进入设置界面,左边选用户,然后进行设置,设置好以后以后就可以不用输复杂的微软live账号密码了,用自己设定的图片密码或者pin就可以登陆.         注:更多精彩教程请关注三联电脑教程栏目,三联电脑群:189034526欢迎你的加入

新扬天VKEB机型BIOS密码、硬盘密码设置与清除方法

  适用范围: V490 V480 M490 M480 B490 B480 E49 K49 K29 操作步骤: 注意:在设置BIOS密码前,请将设置的密码牢记,一旦忘记,只能送修联想售后服务站协助处理. BIOS超级管理员密码设置方法: 1. 开机不停敲击F1键进入BIOS,并使用左右方向键选中Security菜单项,如下图: 2. 使用上下方向键选择Password选项,并敲击回车键进入,从下图红框标记处可知,Disabled表示当前未设置BIOS超级管理员密码,如为Enabled,表示当前已

凑热闹,谈密码,Challenge-Response密码验证

CSDN的密码事件闹得沸沸扬扬,600万用户数据的泄露应该是中国互联网历史上最严重的帐号信息泄露事件.让人不可思议的是,2009年4月之前的用户密码居然是以明文存储.使用明文存储密码本身就是一件相当扯淡的事情,而当这种事情发生在以程序员为主要客户的大型网站上,真是让人哭笑不得. 之后又陆续爆出人人.多玩以及各种知名网站的账户信息泄露的消息,虽然还未确知真伪,但也很是让人揪心.而"不能明文保存密码"这一个初级中的初级的错误之所以会在中国这篇神奇的土地上一次又一次的出现,我认为是与中国的网