[安全] 详解提高密码安全的注意事项(一)
当前互联网一方面蓬勃发展而另一方面也在暗流涌动,如何保护我们账号密码的安全似乎是一个非常头疼的问题。
现在的情况正如你所知道的那样,无论你的密码设置的多么复杂、多么不易被猜测,也无法抵挡猪队友(网站或者服务提供商)直接使用明文存储密码。
明文存储密码最大的麻烦在于一旦网站或者服务提供商被拖库那么你精心设计的密码也会变得毫无价值。
对于被拖库我们似乎看的会更淡然一些,但绝对不是不在乎!我们认为明文存储用户密码的网站都是猪队友,但被拖库的却不一定是猪队友。
因为在黑客世界里并没有绝对的安全,无论是提供简单服务的小网站还是顶级科技公司例如 Google、Facebook 或者国内的阿里巴巴、微博,他们都存在被拖库的风险,只不过相对而言概率太低太低了。
虽然对于用户账号密码使用加密存储也还是有被破解的风险,但至少多了一道防火墙帮我们拖延时间、在被解密前及时更新密码。
好了废话不多说以下是系统天地小编总结的一些常用的安全策略,希望各位都能养成良好的网络习惯。
一、首字母大写+数字+标点符号是时候改改了!
在上一个年代互联网高速发展时大多数人使用的可能都是纯数字、纯字母或者数字+字母组合。
现在已经很多网站在注册时要求用户使用大写字母+小写字母+数字或标点符号的形式来提高密码强度,比如苹果账号密码就是这么要求的。
然而习惯终究还是习惯,很多人在看到这样的提示后直接将密码的第一个字符换成了大写的字母,结尾加上个 1 或者. 了事。
对于黑客而言这样的密码强度已经加大了密码暴力破解的难度,但当前计算机的发展速度已经大大降低了破解所需要的成本和时间。
基于彩虹表和密码词典首字母大写结尾加数字和标点符号的安全性已经大大降低,所以大小写字母+数字+标点符号是时候改改了!
我们建议用户在创建密码时不要首字母大写,当然大写也可以但是中间部分再加一个大写字母最好。
另外也不要在结尾加数字和标点符号,可以考虑把数字和标点符号也加到中间部分,这会大大增加密码破解的难度与时间。
abcdefg<Abcdefg<Abcdefg1<Abcdefg1.<abcdEfg1.<1.abcdEfg<abcdE1.fg<abcdE2.fg<abcdE2,fg //密码强度自小到大
二、凡是可以启用两步验证的网站均启用两步验证
所谓两步验证也就是在用户登录时需要下发验证码进行第二次确认,验证码多半发送到绑定的手机中,也有网站可以发送到绑定的邮箱中。
在绝大多数情况下使用两步验证是比较安全的,一般情况下网站的安全机制自动判断登录用户是否存在安全风险从而决定是否要进行二次验证。
那么对于用户而言网站的安全机制就是保护安全的一道屏障,通常情况下安全机制会对比登录者的 IP、设备型号、浏览器等信息进行判断,当然这也是存在风险的。
但基于手机或者邮箱的两步验证安全性在上个月已经饱受质疑,《看完这张图你明白是如何被骗的吗?》一文中诈骗者通过欺骗用户进行了空中补卡(SIM 卡)导致一堆账号沦陷。
微博上有人比喻网站的二次验证如同在沙滩上建立的高楼大厦,一旦手机 SIM 卡被不法分子获得那么建立在手机验证码上的所有安全机制荡然无存!
而不法分子为什么能获得用户的手机 SIM 卡?原因在于用户本身的问题和运营商的问题,具体我们下文中继续说。
就目前而言手机验证码依然是两步验证的重要基础之一,且在可预期的未来几年里这种验证方式还会继续存在且帮我们保护账户安全。
尽管两步验证也依然存在风险但相对而言已经可以帮助我们大大的提高了账户安全性。
三、不要分享或者泄露自己的账户与密码
可能在你看到这个标题时比较奇怪,为什么我要分享自己的账户与密码?为什么我会泄露我的账户与密码?
如果你有上面这种想法那么恭喜你至少你到现在还没有主动将自己的密码分享给别人,但以后肯定会遇到,一定要谨慎!
还是以《看完这张图你明白是如何被骗的吗?》为例,不法分子利用运营商网站进行空中补卡、利用 139 邮箱下发 10658 开头的短信,最后成功骗取了受害者的补卡验证码。
为什么运营商会有空中补卡这项业务呢?说来也奇怪,根据通信界的业者 @通信女超人 称这是运营商为了方便 2G/3G 用户升级到 4G 提升 4G 用户用量而推出的举措。
这项举措实际用户使用多少我们不知道,但就是这项业务让不法分子成功远隔千里(或许也可能只是一里)通过互联网直接拿到了用户的 SIM 卡。
然而在大家都质疑运营商这项业务的时候,难道没人想过不法分子是如何成功登陆受害者的网上营业厅吗?
没错,受害者的手机号码服务密码已经泄露,据说不法分子登陆时运营商也进行了二次验证,但这个消息我们无法证实,受害者的贴文也没有提到相关的验证码信息。
可是受害者的服务密码又是如何泄露的呢?这个我们也不得而知,但是已经有不少网站需要用户提供手机服务密码。
恕我直言,这类网站其实指的就是 P2P 类网站。在我们看到这个贴文时,很奇怪用户的服务密码为何会泄露,于是通过网上查询得知几乎所有的 P2P 网站都要求用户提供手机服务密码。
手机服务密码用来查看用户的号码使用时间、通话记录等(这是公开说明的),P2P 类网站的说明是查询这些信息是为了判断用户的真实身份并综合其他内容决定是否允许用户贷款。
经过系统天地小编的验证 P2P 类网站确实需要提供手机服务密码,我们注册了五家国内相对较大的 P2P 网站五家均需提供服务密码。
但受害者具体服务密码泄露的途径就不清楚了,网贴里没有提及、受害者也没有继续发声。
所以在此也提醒各位网友千万不要泄露自己的密码 ,尤其是手机服务密码、一旦手机卡被人补办,那么你将会遇到不少的麻烦。
四、不要使用同一个密码
不要使用同一个密码大家都知道的,因为如果使用相同的密码那么一个网站被拖库、密码被破解那么意味着你其他网站的密码也歇菜了。
尤其国内我们经常使用的无非 QQ、淘宝、支付宝、微博、网易、百度等这些,如果你都使用相同的密码,想想看这些网站要是都被人成功登陆了那会是什么样的情形。
所以千万不要把这些常用的网站密码都设置成一样的,不然你面临的安全风险实在太大了。
苏公网安备32032202000432