歡迎光臨
每天分享高質量文章

你的密碼泄露沒?觸目驚心的密碼泄露該如何查防

來自:太平洋電腦網,作者:我愛我家

鏈接:http://pcedu.pconline.com.cn/1151/11512024_all.html


某天,郵箱收到通知,某賬戶登錄存在異常,趕緊登陸該賬戶查看了一下近期活動,有異地登陸現象,忙修改密碼,然後自查系統,不過由於好久都沒登陸過該賬戶,基本上可以排除賬號密碼被木馬盜取的可能性。而該網站的安全性還是有些保障的,基本上可以排除泄露的可能,一來二去就可能是被撞庫了。

  

於是拜托某高手用他的付費賬號在某暗網社工庫中幫忙搜索了一下,不一會兒,高手發來一長串截圖,好吧,這張截圖裡的某條記錄把我忘記多年的在某論壇註冊的賬號都找回來了,真是淚流滿面啊。



圖1 高手幫忙匯出的讓我哭笑不得的Excel表格


接下來就只能挑選著一些重要的賬號進行密碼更改操作了,還有些賬號因為太久沒有登陸都給網站或論壇銷號了。還有些已經根本用不上了,可是網站卻沒有提供銷號功能啊!


嗯,我以前也犯了很多網友所犯的錯誤,那就是使用通用的賬號密碼,簡單的來說,就是利用同一個賬號名稱和同一個登錄密碼來做全網通用的註冊賬號,結果就是慘兮兮的。



圖2 你是不是使用通用的賬號密碼呢?


因為隨便一個網站或論壇里的賬號密碼遭到泄露,這些泄露出來的賬號密碼就會給黑客們利用來撞庫,也就是利用所獲得的賬號密碼來嘗試登陸其它網站,看看能不能得到有用的信息。而這些被黑客入侵導致拖庫進而大批量用戶的賬號密碼被竊取的事件,不僅限於小網站小論壇,不說遠的,最近的就有幾個大型網站慘遭荼毒。


許多用戶都習慣於在不同的網站註冊時使用相同的帳號密碼來註冊新帳戶,這也是是許多用戶的無奈之舉。畢竟,目前還沒有更好的身份驗證方式,指紋、瞳孔、聲紋、人臉識別等等都還未普及,在電腦上,更多的使用的依然是賬號密碼登陸方式,要用戶一個網站一個賬號密碼,那記憶起來可就麻煩一些了,當然,把它寫下來是個不錯的主意,但是你不能隨時攜帶著密碼紙吧。


在2015年後就沒使用通用的賬號密碼註冊重要的網站了,比如淘寶、比如微博等的,重點網站都使用了非通用賬號,而密碼則是複雜密碼,為了防止忘記,還出動了KeePass來幫忙記憶。


接下來我們進入正題,來看看上哪裡可以查詢自己的賬號密碼有無泄漏,再來看看你的密碼靠不靠譜,還有就是如何安全的儲存賬號密碼,如何開啟將自己的賬號密碼變得更安全的二次驗證功能。


一、你的賬戶密碼被泄漏沒?兩個可以查詢泄漏賬戶密碼的網站


開篇時拜托高手查詢賬號密碼泄露的網址,那是暗網,而且是會員制,會費也不低,當然資料也是最全面最新的,至於網址這裡就因法律法規而無法顯示。不過還是能提供兩個目前大眾可以查詢的免費密碼泄露查詢網站,當然裡邊的資料可能不是最新最全的。


首先是一個由 1Password組建的一個國外的安全檢查站 – have i been pwned,用戶可以在該網站輸入自己的郵箱,來檢測你的賬號是否在泄露賬號串列中,並可查詢出泄露站點。



圖3  have i been pwned


操作很簡單,在網站的搜索框輸入你的Email 或常用的帳號,再點擊pwned?按鈕,就可以獲得結果。


在搜索結果中,如果是顯示“Good news — no pwnage found!”,就表明目前在它的資料庫中還沒有找到相同的資料,至少目前該網站收集到的泄露庫中沒有資料。



圖4 暫時表示安全


但是如果搜索結果顯示“Oh no — pwned!”,就證明你所查詢的郵箱或賬戶已經遭到泄露,下邊還顯示了在多少個網站泄露的資料中找到了該賬號,



圖5 慘遭泄露


別急,往下拖,你可以看到具體泄露的網站,還能看到該網站泄露了哪些具體的內容,比如email地址、賬號、密碼等內容。嗯,在這裡又找到了一個已經忘在九霄雲外的某網賬號。



圖6 查看具體泄露網站


在have i been pwned中,還可以看到具體有哪些網站曾經被泄露過用戶資料信息。



圖7 查看泄露網站


想看看你的密碼安全不?多少用戶在使用相同的密碼以防止暴力破解,在have i been pwned中也能夠查詢,在Passwords選項中輸入你所使用的密碼,就可以查看到該密碼的通用性。



圖8 查看密碼通用性


14億!連密碼都能輕鬆看到的查詢庫


再來看看另一號稱有14億郵箱密碼資料庫的密碼查詢網站,訪問該網站後,用戶可以按照用戶名或郵箱地址來查詢特定郵箱是否存在密碼泄露。與have i been pwned不同的是,該網站的查詢結果全為明文的泄露密碼信息,也就是說可以完整的看到賬號與密碼資料,你可以查詢到其它人也可以輕鬆查看到,所以查到有泄露,抓緊修改密碼。



圖9 某密碼泄露查詢網站


該網站的查詢速度慢,得稍等片刻才能獲得查詢結果。有結果就是遭到泄露了,沒有則竊喜一下吧。



圖10 查詢結果


沒關係,我又不是大人物,黑客怎麼會盯上我這個小人物呢?非也非也!


黑客們入侵各個網站所獲得的資料,會建立一個綜合查詢庫,然後會在暗網中以會員形式查詢甚至出售。綜合各個網站得到的賬號密碼和資料訊息,還有在大資料分析下,在社交網站中可以得出你的興趣愛好、網購記錄、在你的雲備份里獲得照片、視頻甚至不可描述的需保密內容。甚至可以獲得你的身份證信息(嗯,目前國內所有游戲都需要實名認證,發表評論也需認證),進而可以憑藉獲得的信息乾出許多你自認為不可能的事兒。


黑客可能會用你的手持身份證照片開網店賣假貨,更嚴重點的,他們會用你的信息借網貸,一些不太正規的應急借貸認證非常寬鬆,壞人用你的身份借了錢就消失不見了,這筆錢可能就要你這個冤大頭去還了。


所以,千萬不要在雲儲存中儲存證件照片,特別是手持身份證照片!!!


憑藉一個就被納入社工庫的QQ號,就可以查詢到該用戶用過什麼密碼,系結過什麼郵箱,使用地點、好友關係、加入的QQ群。


二、你的密碼靠不靠譜?通用密碼不能用,弱密碼一樣不能用


據密碼泄漏查詢中可以看到,不少用戶使用的都是弱密碼,所謂的弱密碼即容易破譯的密碼,多為簡單的數字組合、帳號相同的數字組合、英文單詞、鍵盤上的相鄰鍵或常見姓名,例如“123456”、“abc123”、“Michael”等,並且密碼位數少於8位的亦屬於弱密碼範疇。


這類的弱密碼極易遭到黑客的暴力破解,據某網站的測試結果“六位數密碼 “pYDbL6” ,CPU需要90分鐘,GPU只要四秒,而七位數密碼 “fh0GH5h” ,CPU需要四天的時間,而GPU只需17分30秒,如果是八位或九位數以上,隨機大小寫混合的密碼,則GPU需要算48天,而CPU需要算43年。”當然,這是幾年前的資料了,現在的應該更快,你的密碼算是弱密碼麽?可以通過這個網站來進行測試,該網站將詳細的給出你的密碼強度分數、複雜程度、加分及扣分條件。



圖11 查看你的密碼強壯不


那麼要創建一個較為強壯不易被暴力破解的密碼有那些要領呢?


◆ 密碼位數要足夠長(最少8位)

◆ 密碼需由字母+數字+特殊字符組成

◆ 密碼不能與登陸帳號相似

◆ 密碼不要用鍵盤鍵位排列順序 比如“qwertyuiop”

◆ 密碼不要個人信息如生日、姓名拼音等 容易被猜測破解


來看看這個被譽為史上最牛最詩意密碼“ppnn13%dkstFeb.1st”它當然屬於強密碼範疇,而某位有才的網友直接將其意義翻譯出來“娉娉裊裊十三餘,豆蔻梢頭二月初”,這太有才了。


三、拒絕通用密碼與弱密碼 請個靠譜的賬號密碼保險箱


使用賬號密碼還有那麼多的限制,又要每個網站使用不同的密碼,都不知道該用啥密碼好了,也不知道如何記住這麼多網站的密碼,真的要拿個本子寫下來麽?可是本子也不安全啊!沒關係,接下來請出一個小軟體“KeePass”來幫你創建、管理、記錄、使用密碼,你要做的就是記住該軟體的主密碼就可以了。重要的是它有手機版,可以隨身攜帶。


KeePass:它是一個密碼管理器,可以幫助用戶產生不同的強密碼,也可以幫助用戶記錄這些密碼,還能幫助用戶自動填寫密碼。


KeePass為英文軟體,不過用戶可以通過下載簡體中文語言包(將語言包解壓到KeePass安裝目錄),然後“KeePass主界面選單欄→View→change language →simplified chinese”即可將其轉為簡體中文操作界面。



圖12 KeePass主界面


首次使用KeePass需要新建一個儲存資料庫,用戶可選擇該資料庫的儲存位置,之後做備份時就只需要備份該資料庫即可,創建資料庫時需要創建管理密碼,亦可生成密匙檔案(沒有密匙檔案即使知道管理密碼也無法解鎖)。



圖13 設置管理密碼


然後進入資料庫配置界面,這裡用戶需要輸入資料庫名稱,設置機密演算法、密匙次數、記憶體實時保護(防止其它程式惡意讀取)、是否壓縮資料庫、還能設置建議/強制更改密碼周期。從以上設置中可以看到KeePass對儲存的密碼進行了多重的保密措施,基本上杜絕了被破解的可能,比起某些網站使用明文記錄用戶名與密碼可靠譜得多。



圖14 資料庫配置界面


KeePass的界面簡單,主界面右側為密碼分類欄。右側則為各分類所儲存的密碼串列。



圖15 KeePass的主界面


要每個網站都用不同的密碼,這可難以記住了,在電腦上用記事本記錄起來可是非常不安全的事兒,難不成要拿紙和筆記錄起來?KeePass支持密碼管理功能,可以幫助用戶記錄網站、程式等的帳戶密碼,還能將附加檔案(如註冊時的截屏圖片)附加入加密資料庫中。


用戶需要儲存密碼,只需要選擇分類後在密碼串列區域使用右鍵選單的“添加記錄”即可添加一條新的密碼記錄。


新記錄視窗包含的內容也非常的多,包含了標題、用戶名、密碼(自動檢測用戶輸入的密碼質量、可直接生成)、密碼對應網址、字串欄位、附件。



圖16 新記錄視窗


KeePass支持搜索功能,用戶可以通過搜索框快速的找到需要的密碼。



圖17 搜索功能


提取密碼的方式也很檢點,當KeePass為解鎖狀態時,用戶可以直接拖動密碼記錄中的對應記錄到其它程式的密碼輸入框中就可完成對應的密碼輸入。亦可直接雙擊對應記錄則是複製到剪貼板中,複製後剪貼板內容預設在12秒後自動清空。



圖18 複製的密碼將自動清空


KeePass為用戶提供了密碼生成工具,用戶可以利用該工具設置多種密碼生成條件進而生成高強度密碼。



圖19 生成密碼工具


那麼KeePass能為用戶自動填寫密碼麽?當然能,而且KeePass採用的是虛擬按鍵形式,不僅可以應付大多數的密碼輸入框(包括網頁與程式)還能支持對拒絕複製粘貼型別的密碼框。


例如需要填寫淘寶網的帳戶密碼,由於淘寶網的密碼輸入框採用了安全控制元件監控,使得多數自動填表軟體無可奈何,來看看KeePass能否應付。


具體操作:KeePass→添加記錄→標題隨便填→用戶名與密碼填寫淘寶網的帳戶密碼→自動輸入選項欄→添加→標的視窗中找到預先打開的淘寶視窗(支持任意瀏覽器)→確定”。



圖20 選中預先打開的淘寶視窗


然後在確定KeePass為解鎖狀態時,使用剛纔打開淘寶的瀏覽器進入登陸界面,然後按快捷鍵Ctrl+Alt+A,用戶名與密碼就自動完成輸入了。


對於程式類的密碼輸入框 KeePass同樣能完成填表操作,在設置過程中用戶可以自定義擊鍵過程。以此類推,網游等的游戲程式亦可使用KeePass進行自動填寫帳戶密碼。


如預設擊鍵設置{USERNAME}{TAB}{PASSWORD}{ENTER}指的是KeePass進行“輸入帳戶→tab鍵→輸入密碼→按回車鍵”這些操作。


不用KeePass記得退出或者鎖定,免得被有心之人利用哦。當然用戶可以在選項設置中設定當KeePass空閑多少時間後自動鎖定或退出。


KeePass也有手機版,用戶可以在手機中安裝KeePass,然後將資料庫拷貝到手機中,使用KeePass手機版打開該資料庫就可以憑藉管理密碼查看儲存的資料。



圖21 KeePass手機版


四、二次驗證讓賬號更安全


現在許多網站都加強了防範措施,開啟了二次驗證功能,所謂的二次驗證,就是當用戶使用賬號密碼登陸時,需要接收手機短信或者email所收到的驗證碼才能進入或者才能訪問敏感信息。開啟該功能後,即使別人拿到你的賬號密碼也沒有權限做啥事兒。比如訪問微軟賬戶里的敏感信息時就會要求用戶進行驗證。



圖22 微軟賬戶的二次驗證功能


對於蘋果設備用戶,請加強你的Apple ID賬戶密碼安全,開啟雙重驗證,避免因為賬號密碼泄露而導致設備被惡意鎖機勒索的事情發生。



圖23 Apple ID雙重驗證


對於二次驗證設備,可以使用一個安全的郵箱也可以使用手機短信驗證方式。目前126郵箱對於某些網站發來的驗證郵件採用了需要網頁版登陸查看,而且需要驗證手機短信方式才能查看,安全性提升了不少。



圖24 需驗證手機短信才能查看驗證郵件


還有就是,現在的手機號能重置許多網站的密碼,所以請為你的手機卡加上pin碼,避免因為手機丟失而導致手機卡被盜用的情況。


總結


總結就是,不要用通用的賬號密碼,特別是在重要的網站上。開啟安全認證功能,比如可開啟異地登陸需要驗證手機甚至每次登陸需要驗證,還有開啟設備鎖,在大資料時代,一切安全為上,小心駛得萬年船!


編號665,輸入編號直達本文

●輸入m獲取文章目錄

推薦↓↓↓

Web開發

更多推薦18個技術類微信公眾號

涵蓋:程式人生、演算法與資料結構、黑客技術與網絡安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

赞(0)

分享創造快樂