本文详细解析了互联网密码安全的重要性,揭示了密码丢失的原因,并提供了增强密码强度的方法。文章强调了密码分级管理和采用辅助安全措施的必要性。
昨天注册了一个网站,收到他的确认邮件,本来是一项很好的服务,但赫然发现邮件中有我输入的注册密码。突然觉得中国互联网用户突破4亿人了,但是大家对于互联网安全的基本知识都还缺乏,甚至很多互联网企业也严重缺乏基本的安全知识。自己长期没有写blog了,就借这个问题写一下密码的那些事儿。虽然可能都是一些浅显的知识,但道不远人,希望能写的让大部分的网民看懂。
1 密码安全重要吗?
重要,因为你在互联网上已经不是孤立的个体,而是具有社会性的。即使你从不上网支付,从不玩网游,你的QQ密码的丢失也表示你的QQ社交圈都可能被盗号者欺诈,这将严重影响你的信用。
2 敌人(盗号者)有多狡猾?我们(的互联网)有多危险?
敌人(盗号者)有多狡猾?答案是非常非常狡猾,如果你能和搞互联网的安全人聊聊,他们的心声是一样的,“道高一尺魔高一丈”。盗号者是金钱驱动的魔鬼,他们中不乏密码安全,反汇编,漏洞识别,图像识别,网络通信的高手,手段之高明的程度往往很多安全专家都想象不到的。举个例子,很多互联网企业都推出过密保卡业务,这个业务是通过一张纸片或者图片告诉一组数字,随机让用户输入其中几个数字来保证用户安全,但盗号的木马已经可以通过长期跟踪用户的输入记录密保卡的密码,或者通过屏幕抓屏得到当时本地显示的密保卡图片。
我们的互联网有多危险?很遗憾答案是,非常危险。由于政府监管立法的缺失,网络运营商的不作为,大量互联网企业的非常不专业【注】,网民缺乏警惕性,国内盗版的猖獗甚至包括经济的不发达,使得大批依靠盗号生存的犯罪团伙的存在。于是我们的互联网存在大量网页被植入木马,大量的钓鱼网站,木马下载网站,甚至由于道德缺失,泄密事件也时有耳闻。
其实不止是门户网站不安全,其实各大中国的银行企业的网页也安全不到什么地方去,招行网银曾经就被人指责了很久,但其实招商网银是业内做的最早的一家,其他家水平可想而知。曾经和一个业内人士聊为什么国内的盗号团队还没有盯上网银,他的见解是盗号报案的不多,风险较小,而银行钱被盗,警察很快就会盯上,所以盗号团队暂时还集中在风险较小的游戏账号和QQ账号上。
3 在互联网上,你应该有几个密码?
当然最安全的答案是,每个注册账号一个密码。可这种答案的同义词是,每个网站你都没有密码,因为遗忘是人的天性,每次长假后上班后我自己总要回忆半天公司的登录密码。
如果想图省事,注册所有网站都用一个密码。这个对不对呢?在中国这个网络安全极其脆弱,诚信极度缺乏,钓鱼网站漫天飞的地方,这样的行为无异于找死。我自己的上面的那个例子就证明,很多网站对你的密码是明文保存的,这样如果这个网站的资料泄露后,你的所有的密码就都泄露了。
另外还有一个重要风险,中国的很多网站都存在交叉注册的风险,比如你注册一个社交网站,它一般会让你输入联系的QQ号码,邮件号码,用于方便联系到你,这时如果你的密码设置都一样,那么这些资料泄露,或者这本身就是一个流氓网站的话,你就等着被盗号吧。
所以你的密码最好分级,网银(支付宝)密码,QQ密码,邮箱密码,这些都必须一一不一致。而其他普通网站密码可以相同,但也切不可和前面的密码重复。
现在一些辅助性的安全保护措施逐渐多了起来,比如登录控件,密保卡,手机令牌,移动令牌,可以尽量采用这些方式。对于自己的财产保护,选择USB移动证书会安全很多,当然用完后移动证书当然要记得拔下来,否则盗号分子还是可以模拟你的移动证书登录的。
4 我的密码为什么会丢失?
简单说,任何一个点的泄露都可能导致你密码的泄露,从你的机器到网络,再到保存你密码信息的网站的泄露都会导致你密码的泄露。
4.1 木马解盗号和钓鱼网站,
木马应该是国内盗号分子的主要手段之一,主要是通过软件漏洞(主要是微软的,其他软件也有),下载来路不明的软件等手段,将木马安装在你的机器上,然后通过木马开后门截获你的各种密码甚至控制你的机器。国内的BAIDU出来软件下载网站,一半以上都是木马网站(这是一家负责任的搜索公司吗?)。
钓鱼网站往往是模仿某些网站,中奖消息,垃圾邮件,欺骗你登录,达到获取你账号密码的目的。
中国互联网上木马和钓鱼网站的嚣张一方面是盗版猖獗导致,一方面是我们国内安全和服务运营商不作为导致的,其实只要将金盾工程一半的钱用于建立合理的管理监控体系,打造一个更加安全的互联网其实是不难的。
目前阶段,我们能做还是保护好自己,坚持使用木马查杀工具,杀毒工具,修复补丁。少使用IE浏览器,坚持只在正规的几个网站下载软件,对于下载回来的文件坚持查杀等等。
而同时你要记住,你要对你的行为负责,如果你不知道是否安全,就不要做。比如你不能从域名上区分一个网站是否是钓鱼网站(比如你能确认xx.qq.qq123.com不是一个腾讯QQ的网址吗?),你在互联网上就最好别做任何有登录行为的事情。
4.2 网站安全体系漏洞导致
国内一些网站(应该说是大部分)的安全体系都是有漏洞的,比如登录过程非常不专业,密码是在网上是明文传输的。而到现在为止(2011年2月),新浪用户登录的账号和密码还是用明文传输的,有兴趣的可以用HTTPWatch,或者FireFox的插件Firebug测试一下。
明文传输密码有什么危害呢?比如你在网吧登录,网吧所有的网络数据都是通过一个出口到公网上的,那么流氓的网吧网管就可以在监控所有的数据截获你的密码。我记得05年的时候,用户在QQ WEB网页登录的密码都还是明文传输的,当时的网吧盗号非常普遍,这其中是一个重要原因。后来,QQ的WEB登录的密码就采用了加密传输的方式,避免这个漏洞。
另外由于网络数据在公网上传输,所以很多点都可以截获你的数据。现在手机的无线WAP应用很多,但由于WAP1.0(国内主要还是WAP1.0)的天生缺陷,无法使用脚本,WAP在数据的安全保护方面就是白纸一张(一般WAP登录都是明文),如果网络运营商监管不严格,你的登录账号和密码也很有可能泄露。(其实无线网络的安全目前还没有得到足够的重视,在公共区域拿手机利用Wifi登录WAP页面的同学请注意安全了。)
一个互联网企业,建立合理的安全体系是非常重要的,比如账号密码不能以明文的方式传输自己不保存用户的明文密码等,又比如前面提到的,负责任的网站不应该明文保存用户密码,否则他被攻破或者被泄露,可能导致用户其他网站账号密码都被攻破。
其实更加严格的安全准则应该是,在网络任何一个点上,截获了网络数据,他也不能冒充你(HTTP协议实现这个其实有难度)。其实这样的安全体系Kerberos早在80年代就有麻省理工学院发明了,(感叹丫们真聪明呀),只是由于我们互联网企业的懒惰和无知,不愿意采用这些体系保证安全而已。
另外,由于中国的互联网站安全意识也不好,很多网站被黑客攻击,被挂马是常有的事情,有兴趣可以去各大门户的BBS上去看看里面的各种链接。
4.3 被暴力破解
有少数网站对于用户登录的验证频度没有控制,导致暴力破解成为可能,而很多用户的密码过于简单(这个问题后面展开谈),导致盗号者可以比较快速的进行暴力破解,暴力破解一般采用一些密码词典进行破解。主要尝试一些常用的密码,或者从你的一些公开信息上猜测你的密码,喜欢吧密码设计成出生年月日请当心。
5 密码的强度级别
目前大部分的登录密码,都只能输入英文字符,数值或者某些特殊符号。(其实如果能输入中文密码,也许破解难度会又上升一个档次)
单纯单词,甚至单词组合,纯粹的数值,纯粹的小写,都已经被证明是不安全的。常用英文单词大约6千多个,6位数字密码组合只有99999种可能,如果再是出生年月日那么猜测30年也只有个1万多个。这对于暴力破解和现在的CPU运算能力来说都是一个很小的数字。而且由于很多软件有记住密码这个功能,本地会保存密码的加密版本,(甚至明文),这让木马盗号的破解更加简单了,盗号者甚至可以通过字典法之间反推用户密码。
合理的密码应该是混合大小写,非单词(至少不能是单个单词,多个单词也不要连写),包括数字,甚至最好包括特殊字符,而且长度应该在10位以上的字符串,这样的会大大加大密码的破解难度。我听人建议过用2句唐诗(如果希望安全性更高,最好不是联句)每个字的首字母来组合密码,不容易忘记也较为难以猜测。
下面这个图是老外统计出来的某个网站的密码,可以肯定的是这些密码在盗号者的密码字典里面肯定都有,希望你常用的密码不在其中。
6 那家公司的账号被盗号分子盯着最紧?谁反盗号努力最多?
有点矛盾的是上面这2个问题的答案都是腾讯公司,腾讯公司的优势在于一个QQ账号的多产品登录,但这个也造成了腾讯QQ账号的安全形势是国内最严重的,而且现在的QQ账号已经因为有了QB,QD,财付通这些业务,已经成为了个人财产账户,一旦被盗,用户的损失无疑是巨大的。值得欣慰的是腾讯公司在反盗号上的努力也是最多的,也可以说是国内实力最强的。
早期腾讯账号被盗主要被用于靓号买卖,会员资格赠送,QB转移等问题,但是随着腾讯公司的安全体系的逐步升级,已经逐步堵上了这些漏洞,目前主要盗号销赃的途径是游戏道具赠送方式,而腾讯公司在保护用户账号安全和财产安全上,也付出了很大的努力,在2006-2007年的时候,QQ账号被盗曾经是非常猖獗,而现在腾讯公司的账户保护已经基本渗透到了用户行为的每一步,在登录环节阻止木马,登录地点控制,用户财产保护防止流转等方面都有较好的防范。
腾讯的最大痛苦在其手下的产品过多,历史悠久(一些不够安全的协议可能要逐步替换等),不同的产品有不同的安全要求,而其中一些产品的反盗号水平有短板(比如代理的游戏产品),但是其中一个的短板都可能会导致用户的财产流失。所以腾讯公司在账户保护上仍然任重道远。
扫一扫
7744
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
