說(shuō)到黑客攻擊,大多數(shù)人就會(huì)想到計(jì)算機(jī)病毒,編寫(xiě)病毒需要極高的技術(shù),實(shí)際上,有很多攻擊方式非常簡(jiǎn)單粗暴,甚至常人都可以操作。
多數(shù)的網(wǎng)絡(luò)攻擊中,黑客要盜取用戶的賬號(hào)和密碼,小到游戲賬號(hào),大到總統(tǒng)選舉候選人的郵箱,下面說(shuō)說(shuō)幾種常見(jiàn)的方法
1. 密碼字典
在網(wǎng)絡(luò)上哪些密碼被最多的人使用?答案見(jiàn)下方的表格
大量的用戶為了方便省事,使用了諸如 123456、qwerty 這樣的弱密碼,黑客通過(guò)網(wǎng)頁(yè)抓取等渠道獲取用戶名以后,通過(guò)程序?qū)⒁陨系拿艽a模擬提交。假如黑客拿到了 100 萬(wàn)個(gè)賬號(hào)用戶名,通過(guò)以上的密碼去請(qǐng)求,即使成功率只有 3%,黑客也能成功盜取這 3 萬(wàn)個(gè)賬號(hào)進(jìn)行非法交易。
除了上面的弱密碼字典外,有人還總結(jié)了一些常見(jiàn)的密碼規(guī)律,比如很多人會(huì)以姓名拼音加生日的規(guī)則作為自己的密碼,那么黑客在嘗試密碼時(shí),會(huì)嘗試姓名加生日的組合,又大大提高了成功的概率。
很多網(wǎng)站意識(shí)到這個(gè)問(wèn)題,當(dāng)用戶設(shè)置此種類(lèi)型的弱密碼時(shí),會(huì)友好提示,引導(dǎo)用戶設(shè)置更復(fù)雜的密碼。當(dāng)密碼重試次數(shù)過(guò)多時(shí),網(wǎng)站會(huì)要求用戶輸驗(yàn)證碼或進(jìn)行賬號(hào)的鎖定,這些措施都是為了保障用戶賬號(hào)安全。
2. 撞庫(kù)
2011 年 12 月,CSDN 的安全系統(tǒng)遭到黑客攻擊,600 萬(wàn)用戶的登錄名、密碼及郵箱遭到泄漏。隨后,天涯、世紀(jì)佳緣等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭泄密。很多人以為,密碼遭泄密后網(wǎng)站及時(shí)發(fā)出公告,提示用戶更新密碼就可以免遭損失,實(shí)際情況并非如此。
為了減少記憶負(fù)擔(dān),很多人在設(shè)置密碼時(shí)常常使用相同的密碼,表面上用戶泄露的是 CSDN 的密碼,實(shí)際該用戶的 QQ 密碼、郵箱密碼用的極有可能是同一個(gè),黑客拿到被泄露的密碼數(shù)據(jù)后,以相同的密碼去登錄該用戶的郵箱,登錄郵箱后又可以通過(guò)郵箱重設(shè)其他各種平臺(tái)的密碼,即使只有 1% 的人郵箱和 CSDN 是同一個(gè)密碼,那么也會(huì)有 60 萬(wàn)的郵箱遭破解。
3. 釣魚(yú)
前面介紹的兩種破解方式屬于非定向的攻擊,因?yàn)楹诳鸵膊恢滥男┵~號(hào)會(huì)被破解成功,而網(wǎng)絡(luò)釣魚(yú)則可以用于定向攻擊,獲取指定賬號(hào)的密碼。
最常見(jiàn)的例子就是黑客?盜取指定用戶 Apple 賬號(hào)。小偷偷到 iPhone 后,因?yàn)闊o(wú)法破解鎖屏密碼,手機(jī)無(wú)法再銷(xiāo)售,于是就有專(zhuān)門(mén)的團(tuán)隊(duì),向手機(jī)所有者郵箱發(fā)送郵件,郵件內(nèi)容會(huì)仿冒蘋(píng)果的官方郵件,讓你以為這是蘋(píng)果官方發(fā)過(guò)來(lái)的重置密碼的郵件,如果你點(diǎn)擊鏈接,輸入賬號(hào)密碼,那么密碼馬上就會(huì)落入盜竊者手中,用你的密碼解鎖后,你丟失的 iPhone 又可以銷(xiāo)售了
注意下面圖片中的 URL 地址,實(shí)際是釣魚(yú)網(wǎng)站地址,并不是蘋(píng)果官方網(wǎng)址。
4. 社會(huì)工程學(xué)
社會(huì)工程學(xué)?攻擊通常以假冒、交談、欺騙等方式,騙取用戶賬號(hào)或其他信息。電信詐騙也屬于社會(huì)工程系的范疇。一些詐騙之所以成功率高,主要原因在于詐騙團(tuán)伙事先通過(guò)各種渠道獲取了詐騙對(duì)象的個(gè)人信息,更容易取得對(duì)方信任。
很多網(wǎng)站可以通過(guò)身份證號(hào)、密保問(wèn)題來(lái)重設(shè)密碼,黑客通過(guò)各種渠道收集個(gè)人信息后,便可以通過(guò)這種方式盜取賬號(hào)
5. 代碼庫(kù)配置文件
一些工程師將自己的一些項(xiàng)目源碼托管在 Github 上時(shí),常常會(huì)把系統(tǒng)的配置文件也提交上去,配置文件中通常含有數(shù)據(jù)庫(kù)的用戶名、密碼、初始管理員的用戶名、密碼,由于源碼是公開(kāi)的,當(dāng)?有人發(fā)現(xiàn)時(shí),系統(tǒng)的安全性也無(wú)從談起。
如何提高密碼安全性?
作為普通用戶,如何提升自己賬號(hào)的安全性呢?下面介紹幾種方法
1. 密碼分級(jí)設(shè)置
為了提高安全性,大可不必每個(gè)網(wǎng)站都設(shè)置不同的密碼,我建議將密碼分為三級(jí):
- 金錢(qián)相關(guān),如網(wǎng)銀、支付寶等賬號(hào)
這類(lèi)賬號(hào)安全性要求最高,建議使用復(fù)雜密碼,最好有大小寫(xiě)字母和特殊符號(hào)組合,千萬(wàn)不要使用姓名拼音、生日組合,這樣的密碼很容易猜到或被字典命中。 - 重要郵箱、通訊工具
通過(guò)郵箱可以找回其他網(wǎng)站的密碼,所以常用郵箱的密碼也非常重要,QQ、微信涉及各種聯(lián)系人,也需謹(jǐn)慎對(duì)待,它們都需要安全性較高的密碼,這部分的密碼不要和第一類(lèi)密碼相同。 - 一般論壇、游戲賬號(hào)
相對(duì)而言普通論壇、游戲賬號(hào)的密碼就沒(méi)那么重要了,可以設(shè)置相對(duì)簡(jiǎn)單好記的密碼,但不要包含個(gè)人信息。有人調(diào)侃說(shuō) CSDN 中密碼為 123456 的用戶是注重安全的用戶,因?yàn)檫@個(gè)賬號(hào)丟失,幾乎不會(huì)影響到任何其他賬號(hào)。
2. 重要賬號(hào)開(kāi)啟兩步驗(yàn)證
兩步式驗(yàn)證是一種附加的安全方式,其他人即便知道您的密碼,也無(wú)法登錄。常見(jiàn)的兩步驗(yàn)證方式除了密碼以外,還會(huì)要求用戶以其他方式再次驗(yàn)證用戶身份,主要形式有:
- 短信驗(yàn)證碼
- 已登錄的手機(jī)客戶端掃描二維碼
- ?第一次開(kāi)啟兩步驗(yàn)證時(shí)生成的安全碼
- 已登錄的其他設(shè)備授權(quán)
- 專(zhuān)門(mén) APP 生成的動(dòng)態(tài)密碼,如Google 身份驗(yàn)證器、小米安全令牌
你可能以為開(kāi)啟兩步驗(yàn)證會(huì)讓登錄過(guò)程變得繁瑣,實(shí)際上,可以設(shè)置為換新的設(shè)備登錄時(shí)才需要驗(yàn)證,一旦驗(yàn)證過(guò),之后的登錄只使用密碼即可登錄。
Apple ?ID 的兩步驗(yàn)證在賬號(hào)中心開(kāi)啟,Google、印象筆記、QQ 、小米賬號(hào)等服務(wù)都有兩步驗(yàn)證的設(shè)置。
3. 使用密碼管理軟件
如果你覺(jué)得這么多網(wǎng)站、?APP 的賬號(hào)密碼管理太麻煩,可以嘗試使用密碼管理軟件,如 LastPass、1Password。注冊(cè)一個(gè)新的網(wǎng)站或 APP 賬號(hào)時(shí),密碼管理軟件可以為你生成一個(gè)高強(qiáng)度的密碼,也可以將已注冊(cè)的賬號(hào)密碼錄入到密碼管理軟件中,需要登錄時(shí),密碼管理軟件會(huì)為你自動(dòng)填充。
密碼管理軟件如何保證自己的安全性呢?首先它們會(huì)用各種加密技術(shù)存儲(chǔ)你的密碼,其次要選擇知名大廠的密碼管理軟件,安全性更有保障。在使用軟件之前,你需要設(shè)置一個(gè) Master Password,當(dāng)需要錄入密碼時(shí),無(wú)論是哪個(gè)網(wǎng)站或 APP,輸入這個(gè) Master Password 即可,在支持指紋的 iOS 設(shè)備上,只需要進(jìn)行指紋驗(yàn)證,大大簡(jiǎn)化輸入密碼的工作。
4. ?提高安全意識(shí),警惕釣魚(yú)網(wǎng)站和釣魚(yú)郵件
點(diǎn)擊別人發(fā)給你的鏈接時(shí),一定要注意 URL 是否為官方網(wǎng)址,騰訊的地址一定 qq.com 結(jié)尾,微博一定是 weibo.com ,Apple ID 一定是 apple.com,主域名部分有任何一個(gè)字母不同,都要警惕。
通過(guò)以上方式管理自己的密碼,遠(yuǎn)離盜號(hào),謹(jǐn)防受騙。
