知識星球來自:太平洋電腦網,作者:我愛我家
連結:http://pcedu.pconline.com.cn/1151/11512024_all.html
某天,郵箱收到通知,某賬戶登入存在異常,趕緊登陸該賬戶查看了一下近期活動,有異地登陸現象,忙修改密碼,然後自查系統,不過由於好久都沒登陸過該賬戶,基本上可以排除賬號密碼被木馬盜取的可能性。而該網站的安全性還是有些保障的,基本上可以排除洩露的可能,一來二去就可能是被撞庫了。
於是拜託某高手用他的付費賬號在某暗網社工庫中幫忙搜尋了一下,不一會兒,高手發來一長串截圖,好吧,這張截圖裡的某條記錄把我忘記多年的在某論壇註冊的賬號都找回來了,真是淚流滿面啊。
圖1 高手幫忙匯出的讓我哭笑不得的Excel表格
接下來就只能挑選著一些重要的賬號進行密碼更改操作了,還有些賬號因為太久沒有登陸都給網站或論壇銷號了。還有些已經根本用不上了,可是網站卻沒有提供銷號功能啊!
嗯,我以前也犯了很多網友所犯的錯誤,那就是使用通用的賬號密碼,簡單的來說,就是利用同一個賬號名稱和同一個登入密碼來做全網通用的註冊賬號,結果就是慘兮兮的。
圖2 你是不是使用通用的賬號密碼呢?
因為隨便一個網站或論壇裡的賬號密碼遭到洩露,這些洩露出來的賬號密碼就會給駭客們利用來撞庫,也就是利用所獲得的賬號密碼來嘗試登陸其它網站,看看能不能得到有用的資訊。而這些被駭客入侵導致拖庫進而大批次使用者的賬號密碼被竊取的事件,不僅限於小網站小論壇,不說遠的,最近的就有幾個大型網站慘遭荼毒。
許多使用者都習慣於在不同的網站註冊時使用相同的帳號密碼來註冊新帳戶,這也是是許多使用者的無奈之舉。畢竟,目前還沒有更好的身份驗證方式,指紋、瞳孔、聲紋、人臉識別等等都還未普及,在電腦上,更多的使用的依然是賬號密碼登陸方式,要使用者一個網站一個賬號密碼,那記憶起來可就麻煩一些了,當然,把它寫下來是個不錯的主意,但是你不能隨時攜帶著密碼紙吧。
在2015年後就沒使用通用的賬號密碼註冊重要的網站了,比如淘寶、比如微博等的,重點網站都使用了非通用賬號,而密碼則是複雜密碼,為了防止忘記,還出動了KeePass來幫忙記憶。
接下來我們進入正題,來看看上哪裡可以查詢自己的賬號密碼有無洩漏,再來看看你的密碼靠不靠譜,還有就是如何安全的儲存賬號密碼,如何開啟將自己的賬號密碼變得更安全的二次驗證功能。
一、你的賬戶密碼被洩漏沒?兩個可以查詢洩漏賬戶密碼的網站
開篇時拜託高手查詢賬號密碼洩露的網址,那是暗網,而且是會員制,會費也不低,當然資料也是最全面最新的,至於網址這裡就因法律法規而無法顯示。不過還是能提供兩個目前大眾可以查詢的免費密碼洩露查詢網站,當然裡邊的資料可能不是最新最全的。
首先是一個由 1Password組建的一個國外的安全檢查站 – have i been pwned,使用者可以在該網站輸入自己的郵箱,來檢測你的賬號是否在洩露賬號串列中,並可查詢出洩露站點。
圖3 have i been pwned
操作很簡單,在網站的搜尋框輸入你的Email 或常用的帳號,再點選pwned?按鈕,就可以獲得結果。
在搜尋結果中,如果是顯示“Good news — no pwnage found!”,就表明目前在它的資料庫中還沒有找到相同的資料,至少目前該網站收集到的洩露庫中沒有資料。
圖4 暫時表示安全
但是如果搜尋結果顯示“Oh no — pwned!”,就證明你所查詢的郵箱或賬戶已經遭到洩露,下邊還顯示了在多少個網站洩露的資料中找到了該賬號,
圖5 慘遭洩露
別急,往下拖,你可以看到具體洩露的網站,還能看到該網站洩露了哪些具體的內容,比如email地址、賬號、密碼等內容。嗯,在這裡又找到了一個已經忘在九霄雲外的某網賬號。
圖6 檢視具體洩露網站
在have i been pwned中,還可以看到具體有哪些網站曾經被洩露過使用者資料資訊。
圖7 檢視洩露網站
想看看你的密碼安全不?多少使用者在使用相同的密碼以防止暴力破解,在have i been pwned中也能夠查詢,在Passwords選項中輸入你所使用的密碼,就可以檢視到該密碼的通用性。
圖8 檢視密碼通用性
14億!連密碼都能輕鬆看到的查詢庫
再來看看另一號稱有14億郵箱密碼資料庫的密碼查詢網站,訪問該網站後,使用者可以按照使用者名稱或郵箱地址來查詢特定郵箱是否存在密碼洩露。與have i been pwned不同的是,該網站的查詢結果全為明文的洩露密碼資訊,也就是說可以完整的看到賬號與密碼資料,你可以查詢到其它人也可以輕鬆檢視到,所以查到有洩露,抓緊修改密碼。
圖9 某密碼洩露查詢網站
該網站的查詢速度慢,得稍等片刻才能獲得查詢結果。有結果就是遭到洩露了,沒有則竊喜一下吧。
圖10 查詢結果
沒關係,我又不是大人物,駭客怎麼會盯上我這個小人物呢?非也非也!
駭客們入侵各個網站所獲得的資料,會建立一個綜合查詢庫,然後會在暗網中以會員形式查詢甚至出售。綜合各個網站得到的賬號密碼和資料訊息,還有在大資料分析下,在社交網站中可以得出你的興趣愛好、網購記錄、在你的雲備份裡獲得照片、影片甚至不可描述的需保密內容。甚至可以獲得你的身份證資訊(嗯,目前國內所有遊戲都需要實名認證,發表評論也需認證),進而可以憑藉獲得的資訊乾出許多你自認為不可能的事兒。
駭客可能會用你的手持身份證照片開網店賣假貨,更嚴重點的,他們會用你的資訊借網貸,一些不太正規的應急借貸認證非常寬鬆,壞人用你的身份借了錢就消失不見了,這筆錢可能就要你這個冤大頭去還了。
所以,千萬不要在雲儲存中儲存證件照片,特別是手持身份證照片!!!
憑藉一個就被納入社工庫的QQ號,就可以查詢到該使用者用過什麼密碼,系結過什麼郵箱,使用地點、好友關係、加入的QQ群。
二、你的密碼靠不靠譜?通用密碼不能用,弱密碼一樣不能用
據密碼洩漏查詢中可以看到,不少使用者使用的都是弱密碼,所謂的弱密碼即容易破譯的密碼,多為簡單的數字組合、帳號相同的數字組合、英文單詞、鍵盤上的相鄰鍵或常見姓名,例如“123456”、“abc123”、“Michael”等,並且密碼位數少於8位的亦屬於弱密碼範疇。
這類的弱密碼極易遭到駭客的暴力破解,據某網站的測試結果“六位數密碼 “pYDbL6” ,CPU需要90分鐘,GPU只要四秒,而七位數密碼 “fh0GH5h” ,CPU需要四天的時間,而GPU只需17分30秒,如果是八位或九位數以上,隨機大小寫混合的密碼,則GPU需要算48天,而CPU需要算43年。”當然,這是幾年前的資料了,現在的應該更快,你的密碼算是弱密碼麼?可以透過這個網站來進行測試,該網站將詳細的給出你的密碼強度分數、複雜程度、加分及扣分條件。
圖11 檢視你的密碼強壯不
那麼要建立一個較為強壯不易被暴力破解的密碼有那些要領呢?
◆ 密碼位數要足夠長(最少8位)
◆ 密碼需由字母+數字+特殊字元組成
◆ 密碼不能與登陸帳號相似
◆ 密碼不要用鍵盤鍵位排列順序 比如“qwertyuiop”
◆ 密碼不要個人資訊如生日、姓名拼音等 容易被猜測破解
來看看這個被譽為史上最牛最詩意密碼“ppnn13%dkstFeb.1st”它當然屬於強密碼範疇,而某位有才的網友直接將其意義翻譯出來“娉娉裊裊十三餘,豆蔻梢頭二月初”,這太有才了。
三、拒絕通用密碼與弱密碼 請個靠譜的賬號密碼保險箱
使用賬號密碼還有那麼多的限制,又要每個網站使用不同的密碼,都不知道該用啥密碼好了,也不知道如何記住這麼多網站的密碼,真的要拿個本子寫下來麼?可是本子也不安全啊!沒關係,接下來請出一個小軟體“KeePass”來幫你建立、管理、記錄、使用密碼,你要做的就是記住該軟體的主密碼就可以了。重要的是它有手機版,可以隨身攜帶。
KeePass:它是一個密碼管理器,可以幫助使用者產生不同的強密碼,也可以幫助使用者記錄這些密碼,還能幫助使用者自動填寫密碼。
KeePass為英文軟體,不過使用者可以透過下載簡體中文語言包(將語言包解壓到KeePass安裝目錄),然後“KeePass主介面選單欄→View→change language →simplified chinese”即可將其轉為簡體中文操作介面。
圖12 KeePass主介面
首次使用KeePass需要新建一個儲存資料庫,使用者可選擇該資料庫的儲存位置,之後做備份時就只需要備份該資料庫即可,建立資料庫時需要建立管理密碼,亦可生成密匙檔案(沒有密匙檔案即使知道管理密碼也無法解鎖)。
圖13 設定管理密碼
然後進入資料庫配置介面,這裡使用者需要輸入資料庫名稱,設定機密演演算法、密匙次數、記憶體實時保護(防止其它程式惡意讀取)、是否壓縮資料庫、還能設定建議/強制更改密碼週期。從以上設定中可以看到KeePass對儲存的密碼進行了多重的保密措施,基本上杜絕了被破解的可能,比起某些網站使用明文記錄使用者名稱與密碼可靠譜得多。
圖14 資料庫配置介面
KeePass的介面簡單,主介面右側為密碼分類欄。右側則為各分類所儲存的密碼串列。
圖15 KeePass的主介面
要每個網站都用不同的密碼,這可難以記住了,在電腦上用記事本記錄起來可是非常不安全的事兒,難不成要拿紙和筆記錄起來?KeePass支援密碼管理功能,可以幫助使用者記錄網站、程式等的帳戶密碼,還能將附加檔案(如註冊時的截圖圖片)附加入加密資料庫中。
使用者需要儲存密碼,只需要選擇分類後在密碼串列區域使用右鍵選單的“新增記錄”即可新增一條新的密碼記錄。
新記錄視窗包含的內容也非常的多,包含了標題、使用者名稱、密碼(自動檢測使用者輸入的密碼質量、可直接生成)、密碼對應網址、字串欄位、附件。
圖16 新記錄視窗
KeePass支援搜尋功能,使用者可以透過搜尋框快速的找到需要的密碼。
圖17 搜尋功能
提取密碼的方式也很檢點,當KeePass為解鎖狀態時,使用者可以直接拖動密碼記錄中的對應記錄到其它程式的密碼輸入框中就可完成對應的密碼輸入。亦可直接雙擊對應記錄則是複製到剪貼簿中,複製後剪貼簿內容預設在12秒後自動清空。
圖18 複製的密碼將自動清空
KeePass為使用者提供了密碼生成工具,使用者可以利用該工具設定多種密碼生成條件進而生成高強度密碼。
圖19 生成密碼工具
那麼KeePass能為使用者自動填寫密碼麼?當然能,而且KeePass採用的是虛擬按鍵形式,不僅可以應付大多數的密碼輸入框(包括網頁與程式)還能支援對拒絕複製貼上型別的密碼框。
例如需要填寫淘寶網的帳戶密碼,由於淘寶網的密碼輸入框採用了安全控制元件監控,使得多數自動填表軟體無可奈何,來看看KeePass能否應付。
具體操作:KeePass→新增記錄→標題隨便填→使用者名稱與密碼填寫淘寶網的帳戶密碼→自動輸入選項欄→新增→標的視窗中找到預先開啟的淘寶視窗(支援任意瀏覽器)→確定”。
圖20 選中預先開啟的淘寶視窗
然後在確定KeePass為解鎖狀態時,使用剛才開啟淘寶的瀏覽器進入登陸介面,然後按快捷鍵Ctrl+Alt+A,使用者名稱與密碼就自動完成輸入了。
對於程式類的密碼輸入框 KeePass同樣能完成填表操作,在設定過程中使用者可以自定義擊鍵過程。以此類推,網遊等的遊戲程式亦可使用KeePass進行自動填寫帳戶密碼。
如預設擊鍵設定{USERNAME}{TAB}{PASSWORD}{ENTER}指的是KeePass進行“輸入帳戶→tab鍵→輸入密碼→按回車鍵”這些操作。
不用KeePass記得退出或者鎖定,免得被有心之人利用哦。當然使用者可以在選項設定中設定當KeePass空閑多少時間後自動鎖定或退出。
KeePass也有手機版,使用者可以在手機中安裝KeePass,然後將資料庫複製到手機中,使用KeePass手機版開啟該資料庫就可以憑藉管理密碼檢視儲存的資料。
圖21 KeePass手機版
四、二次驗證讓賬號更安全
現在許多網站都加強了防範措施,開啟了二次驗證功能,所謂的二次驗證,就是當使用者使用賬號密碼登陸時,需要接收手機簡訊或者email所收到的驗證碼才能進入或者才能訪問敏感資訊。開啟該功能後,即使別人拿到你的賬號密碼也沒有許可權做啥事兒。比如訪問微軟賬戶裡的敏感資訊時就會要求使用者進行驗證。
圖22 微軟賬戶的二次驗證功能
對於蘋果裝置使用者,請加強你的Apple ID賬戶密碼安全,開啟雙重驗證,避免因為賬號密碼洩露而導致裝置被惡意鎖機勒索的事情發生。
圖23 Apple ID雙重驗證
對於二次驗證裝置,可以使用一個安全的郵箱也可以使用手機簡訊驗證方式。目前126郵箱對於某些網站發來的驗證郵件採用了需要網頁版登陸檢視,而且需要驗證手機簡訊方式才能檢視,安全性提升了不少。
圖24 需驗證手機簡訊才能檢視驗證郵件
還有就是,現在的手機號能重置許多網站的密碼,所以請為你的手機卡加上pin碼,避免因為手機丟失而導致手機卡被盜用的情況。
總結
總結就是,不要用通用的賬號密碼,特別是在重要的網站上。開啟安全認證功能,比如可開啟異地登陸需要驗證手機甚至每次登陸需要驗證,還有開啟裝置鎖,在大資料時代,一切安全為上,小心駛得萬年船!
●編號665,輸入編號直達本文
●輸入m獲取文章目錄
Web開發
更多推薦《18個技術類微信公眾號》
涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。
