咨询热线:0510 - 8229 3900
 
               
   
行业动态
年中盘点:2022年10大数据泄露事件
餐厅老板竟故意泄露国家秘密!国家安全机关公布典型案例
T-Mobile 5000 万用户数据泄露,21 岁海外美国人宣称对此事负责
打车软件大数据泄密有多严重?美俄有沉痛教训,中国不可不防
数据安全的危与机:2020年85%的数据泄露涉及人的因素
11.8亿条!淘宝又有数据泄露大案:客户ID、淘宝昵称、手机号全都有……
百余车厂机密数据泄露,特斯拉丰田福特大众都在内
2018年全球互联网十大数据泄露事件盘点
央视曝光多起泄密案件
盘点2017年十大数据泄露事件
无锡一员工向公司索赔28万 因自己泄露商业机密被开除
百度前高管泄密被索赔5000万 打印机竟成证据
一个包含英国女王出行绝密信息的U盘失踪后
非法出售个人信息获利5000元以上可入刑
一年来网络安全事件我国网民损失915亿
近8成网民身份信息遭泄露 数据采集标准正报批
历史上最大的数据泄露 曝光全球权贵隐藏的财富
男子偷卖90项国家绝密情报获利70万美元被判死刑
注销手机号码时未解除绑定账户 个人信息会泄露
美保险业现史上最大数据泄密
更多>>
 
各种密码各种忘记?“密码找回” 或存泄密风险
摘自《华龙网》

  近日,知乎网上一篇名为《密码找回功能里可能存在的漏洞,很多程序员都没想到》的文章引发网友热议,该文章指出,对于如今各个网站常见的一项功能——“找回密码”,其本身可能存在安全漏洞,可能由此产生非常大的危害。

  这一“找回密码漏洞”事件,将密码安全话题带入大众视野,同时也激起了对设置密码的讨论。昨日,记者采访几位网络达人和网络安全专家,了解他们如何安全高效管理密码的故事,希望可以让大家不再用得上“找回密码”。

高阶:超长密码,组合而成

  “我的密码一共有39位,是由字母数字组合设置而成。”21岁的刘常剑,是西南大学新闻传媒学院的一名大二学生,因长期使用多位数的密码,让她被朋友戏称为“史上最长密码达人”。

  在他人看来,这组超长密码或许会给记忆带来困难,但刘常剑表示,位数的长短并不会增加记忆难度,更不会影响输入,“因为它们都是有固定规律可循的”。她解释,自己的密码采用:词语拼音特殊意义的数字组合而成,中间夹杂大小写字母。比如:JIANQIANG(坚强) 0725(生日) changjian(姓名) 1017(偶像林志颖纪念日)。刘常剑认为,这样的密码安全又好记,录入的时候也很顺手。

  刘常剑的大学同学小曾昨日告诉记者,自己甚至曾用圆周率来设置密码,从第一位数开始,取前面30位作为密码,再加上几个英文字母便可。“用的时候打开百度,搜出圆周率前30位数,复制粘贴,安全方便又好用!”

中阶:巧用古诗,帮助记忆

  “我一般借助古代诗词,设置和记忆密码。”小苏家住石桥铺,今年23岁的她,同样有自己的密码设置的另类诀窍。

  小苏告诉记者,她通常用一句古代诗词的首字母排列,再加上生日或电话号码,构成一组安全密码。比如CQMYG(床前明月光) 0428(生日) DTSGX(低头思故乡),这样的构成,既安全,又好记,“完全不担心账号被盗,谁能想到我会用这样的密码?”

  记者在采访中发现,使用这种方式设置安全易记密码的人并不鲜见。另一位在渝中区从事文职工作的秦先生,同样选择自己喜爱的诗句加入密码中。不过,他的密码更加简洁,通常只取诗句的第一个字母,“太复杂了记不住,太简单了又不安全,这是最佳选择”。

低阶:“烂笔头”最踏实

  “我记性不好,现在我都把密码写到笔记本上面”,来自观音桥的赵成江现年27岁,在谈到设置密码的问题时,表示这是他比较常用的方式。

  “现实和网络中需要设置密码的地方太多,只有记到本上才不会混淆。”在谈到为何将密码记到本上时,赵成江感慨道,自己现在同时使用QQ、微信、陌陌、人人等社交工具,还有多张银行卡,为了保障自己的账户安全,密码设置都不一样。而且现在很多网络社交工具都有自动记忆密码的功能,久了不输入密码,就会遗忘,自己这么做,也是出于安全考虑。

  “我的记性也不太好,但是我不赞成把密码写到笔记本上。”大二学生黄语涵告诉记者,他也曾做过类似的事情,但是看到网上报道过笔记本信息被偷看的新闻后,他就放弃了这种做法。黄语涵表示,他会将密码制成短信息,保存在手机里,这样就会更安全。

提醒:尽量不要“一码通用”

  昨日,360安全专家安扬也给出了密码设置建议。安扬表示,电商购物网站、可在线支付网站、重要的社交网站等,必须要设置独立密码。因此,他建议用户可以通过在常用密码前面或后面,加上和网站相关联的特殊符号,比如淘宝网站可以使用“常用密码 @taobao”的格式。

“密码找回”或存泄密风险

  忘记密码之后怎么办?大多数人会依赖网站的“密码找回”功能找回密码。但据乌云网公布的资料显示,密码找回功能或存在漏洞,导致用户账号泄密,甚至出现被盗的威胁。

  “某些大型支付网站,通过密码找回功能的漏洞,一旦获取方法,只需五分钟就可以侵入客户账号”。来自tools网站的著名“白帽子”(维护网络安全的专业人士)Tang3告诉商报记者,他曾与团队一同发现并修补过类似的安全漏洞。通过这类漏洞,黑客能够盗取任意账号的密码,出现用户隐私泄露、好友关系诈骗,甚至财产直接受损的严重后果。

  “主要原因是网站开发人员的安全意识不足,‘密码找回’功能存在设计缺陷。”360安全专家安扬接受商报记者采访时解释了出现漏洞的主要原因,例如密码找回的凭证太弱,就会容易被黑客暴力破解。又或者,有的网站直接将密保问题的答案写在网页源代码中,黑客只需通过填写他人注册邮箱,进行密码找回的操作,查看网页源代码就能得到密保问题答案,从而达到篡改他人账号密码的目的。

  而对于目前网站密码找回功能的安全现状,安扬表示,类似乌云网一类的网站,会将获取到的漏洞第一时间通知网站,网站也会发布补丁修补漏洞,“360库带计划也在近期收到多家网站存在‘密码找回’漏洞的报告,已将漏洞信息通报相关网站”。



分享到:


  关于我们|联系方式|资质认证|站点地图|职位招聘|建议与投诉  
地址:江苏省无锡市梁溪区锡澄路260-1号圆融发展中心17F  邮编:214031 总机:(0510)82293900 传真:(0510)82702019
版权所有 © 2003-2024 无锡万华数据科技有限公司
苏ICP备05009260号
苏公网安备 32020202000075号