15
近日,乌云网曝出大麦网(damai.com)用户密码数据库在网上公开售卖,涉及用户多达600余万!
在利用密码进行一次md5解密后,果然可登陆大麦网。
在对泄露数据中取出三个相邻的账号进行登录,抓包分析其用户ID是连续的,技术上已经初步证明该数据有着很大的拖库嫌疑。目前大麦网已确认用户信息泄露消息的真实性,并紧急发布公告,通知大麦网用户及时修改自己的密码,另外也提前预防多出相同密码造成的撞库风险。
什么是拖库? 拖库意味着什么?
拖库,又叫“脱裤”,往往是由于一些小的网站服务器安全措施不到位,被黑客入侵,拖出数据库,导出用户名及密码,然后在别的地方使用。例如以一定的价格售卖给网上的“好事者”。
撞库,就是网上的“好事者”通过一些渠道获取大量的用户名和密码,以此帐户密码去大的网站试登陆,(软件自动进行,有的识别码也能自动识别)撞到一个就OK。这就意味着,一旦用户在多家站点使用相同的账号密码,只要其中一家因为安全措施不到位被拖库,该用户的所有账户信息都将受到威胁!
而事实上,获取一个网站数据库内的数据并不一定需要非常高深的技术以及成本,一个掌握一些基础黑客技术的人再加上一个功能强大效率较高的黑客工具,即可完成“拖库”任务,而一旦非法获取的数据库被用于撞库,往往将造成更大的危害。
拖库危害——密码泄露的多米诺效应
2011年12月21日,某专业网站数据库开始在网上被疯狂转发,包括600余万个明文的注册邮箱和密码泄露,大批受影响用户为此连夜修改密码。此后,178游戏网等5家网站用户数据库又相继公开,更有媒体曝光数十家大型网站已遭黑客“拖库”,从而将2011年末的密码危机推向高峰。正如四年前的密码危机,如今600余万大麦网用户信息被网上公开叫卖,一旦被“有心人”加以利用,不断撞库其他网站,很可能会引发一系列密码泄露的连锁效应,更多网站的数据会被黑客放出。
尽管关于如何设置高强度密码的文章劈天盖地,但很多网民仍习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码。
一旦数据库被泄漏,所有的用户资料被公布于众,任何人都可以拿着密码去各个网站尝试登录。对普通用户可能造成财产、个人隐私的损失或泄漏,诈骗者利用你的信息冒充客服进行一系列诈骗。而对一些敏感的金融行业的用户来说,这甚至是致命的危害!
防止撞库——你的密码是否犯了“大忌”
根据2014年发生的某购票网站用户信息泄露数据,对网民的密码使用习惯调查,发现大量网民在设置密码是犯了这些大忌,请检查一下自己是否在其中:
一、密码中包含常用词汇、生日、手机号、姓名拼音或缩写等;
二、从来不改密码,一个密码用很多年;
三、所有的密码都保存在电脑里、浏览器中;
四、密码长度过低、纯数字;
五、不设置密保措施或二次验证;
如果你在设置密码时犯了这些“大忌”,那么你的账号被盗的危险性也将提升,因此,养成一个良好的密码使用习惯,对于保障账户安全是十分必要的。
提高账户安全的可选方案
一、设置高强度的密码:形式上使用大写字母、小写字母、数字、非数字符号的组合;
二、经常修改密码:可定期更换密码,每月或每一季更换一次,并且永远不要把密码明文写在纸上;
三、在不同的网络系统使用不同的密码,对于重要的系统使用更为安全的密码;
四、不将密码保存在本地:常规浏览器保存密码没有一个很好的加密策略,这往往为黑客破解密码大开方便之门;
五、使用更安全的认证方式:如果你觉得密码太复杂记不住,可以采用扫描二维码登录、刷脸登录、指纹识别登录,每一种方式都比传统密码更安全便捷,只需在手机中安装一款诸如洋葱令牌的认证软件即可实现。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
