你的密碼誰做主?
來源:易賢網(wǎng) 閱讀:1062 次 日期:2015-09-17 16:54:44
溫馨提示:易賢網(wǎng)小編為您整理了“你的密碼誰做主?”,方便廣大網(wǎng)友查閱!

中國互聯(lián)網(wǎng)最大規(guī)模的用戶資料泄露事件正在進(jìn)行時,自12月21日有黑客在網(wǎng)上公開了開發(fā)者技術(shù)社區(qū)CSDN用戶數(shù)據(jù)庫包括600余萬個明文的注冊郵箱賬號和密碼以來,上周末,又新增了十余家國內(nèi)知名網(wǎng)站涉入密碼外泄的消息。你的密碼改了嗎?已成為眾多網(wǎng)民最流行的相互問候語。

事件回放

12月21日,黑客在網(wǎng)上公開了CSDN網(wǎng)站用戶數(shù)據(jù)庫。12月21日晚間,CSDN在其官網(wǎng)上發(fā)表聲明承認(rèn)有約600萬用戶密碼遭到外泄,且絕大部分是早年留存的明文密碼。

CSDN僅僅是一個開始,緊接著在國內(nèi)著名的漏洞報告平臺wooyun曝出一組截圖,截圖中顯示,其中包括人人網(wǎng)、開心網(wǎng)、多玩、世紀(jì)佳緣、珍愛網(wǎng)、美空網(wǎng)、百合網(wǎng)等數(shù)十家國內(nèi)知名網(wǎng)站數(shù)據(jù)庫可以通過訊雷下載。

25日,wooyun又曝出國內(nèi)知名社區(qū)天涯論壇4000萬用戶賬號密碼郵箱明文保存的數(shù)據(jù)遭泄露。當(dāng)晚,天涯論壇在其官方微博發(fā)表聲明和致歉信稱:“近日由于遭受黑客攻擊,有多家網(wǎng)站的部分用戶數(shù)據(jù)庫外泄,天涯也是受害網(wǎng)站之一。為確保您的隱私及賬戶安全,在此,我們懇請您盡快修改天涯社區(qū)相關(guān)賬戶的密碼。”

盡管人人網(wǎng)、開心網(wǎng)、多玩網(wǎng)、貓撲等上榜的網(wǎng)站均對此予以否認(rèn),僅有天涯社區(qū)和CSDN表明已向公安機(jī)關(guān)報案。隨著天涯用戶密碼遭到泄露,數(shù)據(jù)泄露的影響進(jìn)一步擴(kuò)大。也意味著大約超過5000萬的用戶數(shù)據(jù)庫被泄露,同時被通過各種渠道擴(kuò)散和被人下載。正如國內(nèi)著名的開源社區(qū)Chinaunix創(chuàng)始人之一竇喆在其微博上所調(diào)侃:“手里沒幾個密碼庫,都不好意思和同事聊天,連前臺都有幾個密碼庫了,讓我情何以堪?!?/P>

密碼的外泄一時引發(fā)互聯(lián)網(wǎng)上人人自危,互聯(lián)網(wǎng)安全公司紛紛拉響紅色預(yù)警。有網(wǎng)絡(luò)安全專家表示,此次泄露源于黑客入侵這些網(wǎng)站的數(shù)據(jù)庫服務(wù)器,盜取用戶數(shù)據(jù)庫等信息,其中包括注冊郵箱、用戶名、密碼(多是密文、部分網(wǎng)站是明文),并將這些數(shù)據(jù)在互聯(lián)網(wǎng)中進(jìn)行傳播。

蝴蝶效應(yīng)

此次曝出的用戶資料泄露事件,不過是冰山一角,網(wǎng)民之所以如此震驚,只不過是因為一直被蒙在鼓里罷了。有知情人士稱,“很多網(wǎng)站的數(shù)據(jù)庫不知道在黑市中被販賣了多少次了”。

有安全專家指出,這些數(shù)據(jù)泄露會造成蝴蝶效應(yīng),當(dāng)過千萬級的明文密碼、真實郵箱、網(wǎng)上常用ID暴露,如果有心人通過數(shù)據(jù)挖掘是能做出很多恐怖的事情的。你的密碼使用習(xí)慣被人知道,如生日、喜歡的人、手機(jī)號碼等等。你的ID和真實郵箱被泄露,那么你在網(wǎng)上所有的一切都有可能被人肉搜索,想想暗地里有一雙雙窺私的眼睛盯著你,隨時可能給你致命一擊,這是多么可怕的事情。

東軟網(wǎng)絡(luò)安全副總經(jīng)理曹鵬在其微博上表示:“最近這個月大量的用戶密碼信息被不斷曝光,再加上實名制和摻雜個人信息的網(wǎng)絡(luò)發(fā)帖使得人肉搜索更加容易,口令賬號被竊取就意味著個人信息泄露的源頭會被打開,多套密碼加上多個馬甲看來還是有必要的,另外就是網(wǎng)絡(luò)世界也需要謹(jǐn)言慎行了。自己前段時間網(wǎng)絡(luò)交易差點被騙,最后通過人肉搜索逼迫無賴就擒。”

資深安全顧問張百川在微博上道出了此次事件網(wǎng)民恐慌的原因,“CSDN暴露的僅僅是程序員為主體的密碼,群體少,且相當(dāng)一部分人的關(guān)鍵應(yīng)用用的是不同密碼;但是多玩、天涯等網(wǎng)站的用戶都是普通網(wǎng)民,安全意識很薄弱。也許,很多人的密碼被用來嘗試郵箱、相冊等,以及各種“云”系統(tǒng):云盤、云CRM、云……網(wǎng)絡(luò)時代,安全是個大問題?!?/P>

眾多網(wǎng)民習(xí)慣于一個密碼“走天下”,也就是說在多個網(wǎng)站上注冊都使用相同的密碼,這其中也許包括了網(wǎng)銀、QQ、郵件等私密的密碼。此次事件的爆發(fā),互聯(lián)網(wǎng)掀起了改密碼狂潮,也讓眾多網(wǎng)民過了一個最忙碌的“冬至”。

中國黑客教父、元老,知名網(wǎng)絡(luò)安全專家,綠色兵團(tuán)創(chuàng)始人,COG信息安全組織創(chuàng)建人龔蔚則表示,黑客一開始或許是出于炫耀目的而向外公布網(wǎng)站數(shù)據(jù)庫,網(wǎng)站安全問題是歷史累積的,累積到一定時間就會爆發(fā)。同時他表示,網(wǎng)絡(luò)犯罪投入成本低,隱蔽性強(qiáng),所以打擊起來有難度。因此,網(wǎng)民要有自我保護(hù)意識,設(shè)置密碼時盡量不要使用簡單單詞,也不要一個密碼在多個網(wǎng)站使用。

目前,多個網(wǎng)站開始預(yù)警提醒用戶注意賬號安全,建議用戶盡快修改密碼。此外,還提示用戶設(shè)置的密碼不要過于簡單,建議新密碼采用數(shù)字和字母組合的方式以增強(qiáng)安全性。有專家建議,盡量避免使用相同的用戶名和密碼來注冊所有的賬戶,并采用經(jīng)常更改密碼的方式,來規(guī)避不可預(yù)知的風(fēng)險。

事件反思

解決此次事件所帶來的麻煩,僅僅改密碼就夠了嗎?盡管眾多上榜的網(wǎng)站均否認(rèn)數(shù)據(jù)庫被泄漏,但通過此次事件讓網(wǎng)民對網(wǎng)站的安全性提出了質(zhì)疑。暫且不論這些的網(wǎng)站出于什么動機(jī)去明文存儲用戶的密碼。明文存儲密碼本身就是個致命的安全錯誤。有不少網(wǎng)民對此表示憤怒,“明文存儲密碼簡直是坑爹。”

深圳大成天下公司網(wǎng)絡(luò)安全技術(shù)專家吳魯加認(rèn)為,此次事件是黑客攻擊導(dǎo)致數(shù)據(jù)整體泄露的事件。由于的數(shù)據(jù)泄露,對企業(yè)和用戶實實在在地產(chǎn)生了重大的影響。吳魯加用木桶來比喻互聯(lián)網(wǎng)。他說,互聯(lián)網(wǎng)用戶的隱私短板,不再取決于單一企業(yè),而是取決于所有這些握有大量用戶信息的企業(yè)中的最短板。

近年來,由于金錢利益的驅(qū)動及非法地下交易市場,黑客攻擊目標(biāo)從普通用戶轉(zhuǎn)向具有更多用戶資料的企業(yè)數(shù)據(jù)庫,數(shù)據(jù)庫的安全防護(hù)也一直被列為企業(yè)IT部門的重要工作之一,但是防范措施和安全投入?yún)s參差不齊。

北京明朝萬達(dá)科技有限公司董事長王志海一語道破目前眾多互聯(lián)網(wǎng)對安全不重視的弊端,“CSDN這次泄密不是技術(shù)問題,是態(tài)度意識問題?!蓖瑫r他指出,目前大部分人面對安全顧問,習(xí)慣的反應(yīng)是我沒有什么系統(tǒng)或數(shù)據(jù)需要保護(hù)的。CSDN事件再次警醒,我們現(xiàn)在最缺的不是什么先進(jìn)的安全技術(shù),而是基本的安全意識。如果能夠?qū)崒嵲谠诘匕熏F(xiàn)有安全措施用上,絕大部分安全事件都不會發(fā)生。

百度PHP高級顧問惠新宸則指出,安全意識是一個程序員的基本素養(yǎng),它應(yīng)該成為你的本能,時時刻刻地灌注到你的每一行可能產(chǎn)生taintedstring的代碼中。而不應(yīng)該假手,依賴于安全工程師。

知名信息安全專家彭泉給出了防范之道:“我覺得最簡單的就是讓黑客即使觸及到數(shù)據(jù)庫也無法“看懂”,即對用戶名、密碼、郵箱、身份信息全部加密,而且變形加密,然后可再配合數(shù)據(jù)分散存儲?!彼袊@到,到目前為止,還未有此事件涉及的公司公布或說明數(shù)據(jù)庫泄露過程的技術(shù)審計結(jié)果,這是此事件最大的悲哀。

通過此次中國互聯(lián)網(wǎng)最大的用戶數(shù)據(jù)泄露事件暴露出這些網(wǎng)站在運(yùn)用各種方式吸引用戶,增加網(wǎng)站注冊人數(shù)、提升人氣的同時,完全忽視了安全的必要性,無疑是對用戶信息安全的公然漠視。此次事件給眾多互聯(lián)網(wǎng)企業(yè)及網(wǎng)站敲響了警鐘。最后引用知名網(wǎng)絡(luò)安全專家Coolfire的話:“身為程序員,不否認(rèn)自己也曾犯過同樣的錯,某些小小系統(tǒng)仍使用明文存儲密碼,成本是主要考量。程序、心態(tài)都一起升級吧。

更多信息請查看IT技術(shù)專欄

更多信息請查看數(shù)據(jù)庫
易賢網(wǎng)手機(jī)網(wǎng)站地址:你的密碼誰做主?
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)!

2025國考·省考課程試聽報名

  • 報班類型
  • 姓名
  • 手機(jī)號
  • 驗證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡要咨詢 | 簡要咨詢須知 | 加入群交流 | 手機(jī)站點 | 投訴建議
工業(yè)和信息化部備案號:滇ICP備2023014141號-1 云南省教育廳備案號:云教ICP備0901021 滇公網(wǎng)安備53010202001879號 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號
云南網(wǎng)警備案專用圖標(biāo)
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號:hfpxwx
咨詢QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)
云南網(wǎng)警報警專用圖標(biāo)