咨询热线 18637382354
地址:河南省新乡市牧野大道电子信息科技园515室 >>>详细地址
电话:18637382354
邮箱:xxhaijia@qq.com
行业新闻/知识
当前位置:海佳软件 > 行业新闻/知识 >

不得不知:一个信息安全圈里公开的秘密

发布时间:2017/05/02点击量:

海佳君今天有时间,亲自码字为大家讲一个事实(此处应该有掌声),海佳君要说的是在信息安全领域里的“公开的秘密”。  

“口令验证”想必大家都知道吧,就是用户名+秘密。登陆各网站应用时,你都这么验明真身的。其实如今,十亿以上的“账户+秘密”的口令包在网上售卖已经持续2年了。仅靠密码验证,已经非常不安全了。

     利益链条是这样的:被盗“账户+密码”1000条一组打包,以5美分的价格在黑市反复售卖——每百万条大约值50美元。攻击者买到手后,可以利用ione.club之类的网站,找一些特定工具软件,来测试这些成果,还是以往被盗口令在新网站上的重过滤的结果。攻击者挖掘已暴露的用户名、邮件地址和口令数据,利用自动化工具,在各大顶级网站上尝试自动测试这些登录数据和口令。

   可能以上的内容你不理解,换言之其实你可以想象下“一个遍地都是银行保险箱钥匙的世界吗?”所需要做的,仅仅捡起一把,在找到匹配的保险箱而已,这就是目前的现状。

   如果有人在多个站点使用同一个“用户名+密码”组合,那么攻击者在某些情况下就能自动接管他们的账户。这也是为什么A站的口令泄露,会造成毫无关系的B网站也有凭证被盗的原因。举个例子,一名黑客可以用Tumblr被盗数据集,在Dropbox上用自动化“口令验证”工具,数小时之内获取上百万“新”Dropbox口令——就是今年6月的事。

在被盗口令泛滥的现今,从口令密码入手是比网络钓鱼、恶意软件或漏洞利用更方便的攻击方式。“口令验证”工具已可用于查找跨网站重复利用的口令。这种大规模验证被盗口令的趋势不是什么新鲜事,已经持续了至少2年。据威瑞森《2016数据泄露报告》所言,63%的已证实数据泄露涉及弱密码、默认密码或被盗密码,且问题正变得更严重。

 

   大部分人的口令都有可能已经被泄露了,修改口令也不会使你更安全,那怎么办呢?

 

目前有很多的网站、网银等平台已经采用双银子验证的方式,所谓双因子验证,就是你在输入用户名+密码后,还要配之以U盾,或短信验证码,才能顺利登陆进系统。

然而对于一些朋友们不愿意弄些复杂难记得口令,所以很多网站上大量重用口令,这就意味着单点被破基本上就是整个网上身份的彻底暴露,所以还是要提醒大家,还没有实现双因子验证的网站、网银等,千万慎重使用。

各位海佳君的粉丝们,赶紧去自查自己常用的网站,只能帮各位到这里啦!

海佳软件微信号以及联系方式