网络安全与密码危机

网络安全与密码危机

与历史上改变人类生活方式的重大技术革命一样,网络技术已经成为了一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静态通讯到移动通讯、从单计算机应用到多计算机互联、从人人互联到物物互联,网络技术发展到现在,已经无处不在、甚至可以说不可或缺了。然而网络信息技术飞速发展的今天,安全问题也异常突出。各式各样的网络犯罪活动层出不穷,严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全。随着互联网的逐步成熟,推动信息化建设,信息资源成为重要的生产要素和社会财富,但网络信息的安全机制不够完善,个人信息泄露问题严重,侵犯公民个人信息犯罪仍处于高发态势,电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,对社会产生了危害。

其中,愈演愈烈的密码危机是不可忽视的一大威胁,已经演变成了人们对网络技术的信任危机。近年来,我国发生了多起大规模信息泄露事件:2011年,知名网购网站美团网的用户账号密码宣告泄露,天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄,网上公开暴露的网络账号密码超过1亿个;2014年,中国铁路服务中心12306用户数据在互联网遭到大量泄露,包括用户账号、明文密码、身份证、邮箱等。

网络安全相关调查

据相关数据显示,79.3%的网民对网络安全问题有所了解,但在遭遇问题时不堪一击,仅有4.5%的人具备解决和防范网络安全问题的自我应对能力。

网络安全与密码危机

数据来源:比达咨询,中商产业研究院整理

诈骗形式防不胜防,在网民常遇到的网络诈骗行为调查中,冒充好友、亲戚诈骗的占比高达68.4%,虚假中奖信息占比为59.9%,除了几种主要的诈骗方式以外,网民遭遇到其他类的诈骗方式竟高达80.2%,可见诈骗形式的多样,令人防不胜防。

网络安全与密码危机

数据来源:比达咨询,中商产业研究院整理

在网民曾有过的高风险网络行为调查中,多账号使用同密码占比76.3%排行第一,随意打开链接、扫描二维码等高风险网络行为占比54.2%排行第二,排行第三的是不安装安全软件的行为,为34.2%,仅有15%的网民上网行为无高风险,目前网民在网络行为方面仍有诸多隐患。

网络安全与密码危机

数据来源:比达咨询,中商产业研究院整理

当今互联网世界也可以被称为数字世界,在这样的世界里,密码绝对占据着极其重要的地位,我们的生活已经被各式各样的账号密码所包围:银行社保、微信、QQ、支付宝、微博、淘宝等,凡涉及开通服务,必有账号密码。密码的应用领域一般分为三大类:网络账号、系统账号、文件加密。密码是一种相对简单而且容易掌握的保密方式,应用于生活中的方方面面,然而如此众多的密码也为个人带来了严重的风险。关于密码的安全性,我相信这是一个永远没有终点的赛跑。

黑客破解密码的方法

个人网络密码安全是整个网络安全的一个重要环节,如果个人密码遭到黑客破解,将引起非常严重的后果,增强网民的网络安全意识是网络普及进程的一个重要环节。因此,在网民采取安全措施保护自己的网络密码之前,有必要了解一下流行的网络密码的破解方法,方能对症下药,以下目前网络犯罪分子常用的网络密码破解方法。

1.暴力穷举

密码破解技术中最基本的就是暴力破解,也叫密码穷举,简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合,也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算,也就是说用我们破解任何一个密码也都只是一个时间问题。当然如果破译一个有8位而且有可能拥有大小写字母、数字、以及符号的密码用普通的家用电脑可能会用掉几个月甚至更多的时间去计算,其组合方法可能有几千万亿种组合。这样长的时间显然是不能接受的。

网络安全与密码危机

如果黑客事先知道了账户号码,如邮件帐号、QQ用户帐号、网上银行账号等,而用户的密码又设置的十分简单,比如简单的数字组合,黑客使用暴力破解工具很快就可以破解出密码来。因此用户要尽量将密码设置的复杂一些。在一些领域,为了提高密码的破译效率而专门为其制造的超级计算机也不在少数,例如IBM为美国军方制造的“飓风”就是很有代表性的一个。

2.网络钓鱼

“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动,受骗者往往会泄露自己的敏感信息(如用户名、口令、帐号、PIN码或信用卡详细信息),网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站,骗取用户帐号密码实施盗窃。

自苹果公司创立之初,新一代移动操作系统iOS系统就以封闭性,很少出现漏洞,高安全性,声名远扬。然而道高一尺魔高一丈,黑客伴随着iOS系统的更迭不断进步,从初级“越狱”后入侵的小打小闹,升级为如今的“明抢豪夺”。

去年10月,国外一家面向开源及私有软件项目的托管平台gitHub上有开发者曝出,可通过安装App,控制其弹出的窗口,钓鱼获得用户的Apple ID和密码。安全威胁也不再只是那些“高危”漏洞,如今应用程序本身也成为了黑客的钓鱼攻击工具。

iOS系统在会很多情况下会要求用户输入Apple ID和密码,因此用户已经形成习惯。但此类提示不仅出现在更新系统、iCloud等场景中,也可能会出现在一个随机的App中,例如:游戏过程中的购买行为。据开发者介绍,此类提示可以被任何App利用,通过UIAlertController便可以轻易实现,弹出的对话框和系统对话框几乎完全一致,普通用户无法在短时间内识别出此类钓鱼攻击。

网络安全与密码危机

3.击键记录和屏幕记录

如果用户密码较为复杂,那么就难以使用暴力穷举的方式破解,这时黑客往往通过给用户安装木马病毒,设计“击键记录”和“屏幕记录”程序,记录和监听用户的击键操作,然后通过各种方式将记录下来的用户击键内容传送给黑客,这样,黑客通过分析用户击键信息即可破解出用户的密码。这些击键记录病毒并不是一种特定的病毒,任何有击键记录功能的病毒,都可以称之为击键记录病毒。

2017年7月,一位来自瑞士安全公司Modzero的安全研究人员指出,全球PC巨头惠普在音频驱动程序中发了一个内置的键盘记录器,可以窥探用户的所有按键输入信息。

网络安全与密码危机

键盘记录器记录键盘上按下的每个键并记录该信息,然后将信息发送到中央来源。在恶意情况下,这些信息用于窃取个人资料,如信用卡号码、社会安全号码、密码等等。而该键盘记录软件存在于 Conexant (科胜讯)提供的声卡驱动包里,该驱动包被预装在大量惠普笔记本中。

为了防止击键记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而破解这类方法的用户密码。

4.Sniffer(嗅探器)

在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用Sniffer程序。Sniffer,中文翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式窃取网上的传送的数据包。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都会被Sniffer程序监听。

网络安全与密码危机

网址嗅探器(ESFSoft URL Sniffer)1.0汉化版

除了以上几种技术要求较高的密码破解方法,其实还有一些社会工程学攻击方法可以轻松窃取个人密码。例如,有一些公司的员工虽然设置了很长的密码,但是却将密码写在纸上,还有人使用自己的名字或者自己生日做密码,还有些人使用常用的单词做密码,如果这些记录密码的纸张被当成垃圾丢弃,那么就存在着密码泄露的风险,这些个人的不良的习惯将导致密码极易被破解。

如果用户使用了多个系统或服务平台,黑客可以通过先破解较为简单的系统的用户密码,然后用已经破解的密码推算出其他系统的用户密码,如上所述,许多用户对于不同的服务平台或账号都使用相同的密码。这对黑客来说,使用撞库技术来破解密码就太轻松了。

网络安全与密码危机 网络安全与密码危机

很多著名的黑客破解密码用的并非什么尖端的技术,而只是用到了密码心理学,从用户的心理入手,从细微入手分析用户的信息,分析用户的心理,从而更快的破解出密码。其实,获得信息还有很多途径,密码心理学如果掌握的好,可以非常快速破解获得用户信息。

如何保护密码安全

日益频繁的密码和个人信息泄漏事件,加上互联网上越来越成熟和体系化的黑色产业链,很难说下次自己的帐号会不会遭殃。因此,我们非常有必要为自己的账户安全设计一套既容易记忆又难以被破解的密码体系,尽可能地远离风险和麻烦。

1.切勿“一套密码走天下”

在现实生活中,我们都会选择“一把钥匙开一扇门”,谁都不希望自己的家门、车门、公司门、宿舍门、所有的抽屉、甚至是保险箱都用同一把钥匙吧?因为如果这把“万能钥匙” 一旦丢失,损失将会非常惨重!!!然而在网络上,大多数人却贪图方便,一直使用“万能钥匙”的密码策略——几乎所有场合都设置成同一个密码,这极容易被黑客利用进行撞库攻击。

2.设置高强度密码

设置高强度密码之前,我们首先来了解一下那些常见的“不安全”的密码。不安全的密码举例:

1.使用自己/亲人的姓名拼音、英文名、生日、手机号码、学号、身份证号码等(易因个人信息泄露被破解);

2.与帐号名称/网站名称相同或仅仅加上几个简单字符(如注册的帐号为iplaysoft,密码设置为iplaysoft123);

3.简单的密码,如:000000、888888、123456、qwerty、aaaabbbb、abc123、abcdef;

4.长度少于6位的短密码 (和简单密码一样,太容易被暴力破解或字典破解);

5.使用简单的英文单词、纯英文、纯拼音、纯数字、顺序排列的字符、键盘连续排序的字符等。

那么,相对这些弱安全密码,我们可以设置高强度、难以被猜解的密码:

1.密码长度尽量设置为8位或以上,每多一位数字对使用暴力破解的黑客来说,其计算机的运算能力都会增加一重负担;

2.使用英文(包含英文大小写)+数字,如果网站允许,请务必尽可能加上特殊符号 (如! @ # $ % ^ 等)!!!

3.密码没有明显的规则和组成规律,好的密码是自己能轻易记住,但别人看起来是毫无意义的乱码。

譬如,可以设置基础记忆密码为Ycy94gHwz!,微博名称为Weibo (前两字母为We,后两字母为Bo),那么对应生成的密码可以是WeYcy94gHwz!Bo;苹果帐号Apple的密码就是ApYcy94gHwz!Le,以此类推……然后,我们还可以适当加一些符号来将密码包围起来,比如微博最终的密码是这样:$WeYcy94gHwz!Bo#。

不夸张地说,只要不把这规则告诉他人,这种密码就算被有心人偷瞄几眼,基本他也不会记得住,而根据测试,暴力破解也起码要3千9百万年!想破解想偷窥?尽管来呀!

另外,如果自己不想费心思去想如何设置这样的高强密码,可以借助密码生成器,之后好好保管密码就行了:

网络安全与密码危机

3.设置异地登陆保护

设置异地登录保护可以防止他人盗取帐号,这样可以一定程度上防止异地的黑客登陆受害者的账户。

网络安全与密码危机

微博异地登陆保护

4.开启双因素验证

话说至此,设置好复杂安全的密码就足够了吗?不!我们还能为账户再加上一道安全防线——它就是双重验证(又叫动态密码)。如今越来越多重视安全的网站开始提供双重验证功能了。简单来说,它就是在您输入正确用户名密码之后,还要求您输入正确的手机验证码、或其他形式的验证信息才能登录。

在开启后,即便黑客盗取到您的用户密码,他也因获取不到手机验证码从而无法成功登录账户。因此,在一些比较重要或比较常用的网站上,如果有提供双重验证功能,我们强烈建议您不要嫌麻烦,请务必开启它!据了解,淘宝、天猫、苹果Apple ID、微软帐号、Google 帐号、Steam等服务都已提供双重验证了,只要进入账户安全设置里面就能找到相关的选项。

网络安全与密码危机

5.不要随意“蹭网”

相信很多人都用过万能钥匙、万能密钥、WiFi共享精灵等等类似的软件来蹭网,毕竟三大运营商的流量费还是有点小贵的。一些小白用户满怀欣喜,认为自己也变得牛X了,可以破解WiFi密码了。但实际上,这些软件的工作原理,并不是破解别人路由器的WiFi密码,而是基于分享WiFi密码的。

举个简单的例子:用户A在自己手机中安装了万能密钥蹭网软件,在家连接自己的路由器WiFi后,软件就会把用户A的WiFi名称、密码上传到服务器端保存起来。用户B在自己手机中也安装了万能密钥软件,当用户B出现在用户A家附近时,万能密钥软件就会在从服务器中进行查询密码信息,从而让用户B的手机连接上用户A家的WiFi。

网络安全与密码危机

蹭网者可以通过一些技术手段截取用户上网设备发送和接收的数据,用户个人隐私极有可能会泄露。而这些保存大量WiFi账户密码数据的蹭网软件服务器,一旦被黑客攻击,极有可能被他们利用从而盗取网银、支付宝、银行账号密码等一些重要的个人信息,从而造成财产损失。

6.密码尽量不要存在电子设备上

很多人习惯顺手就将很多的用户名及其对应的密码记录在手机便签、电脑桌面、记事本等处图个方便。殊不知万一设备被盗或者丢失,连同很多账户也跟着丢失了,所以如果要记的密码很多,最好使用纸质保存在安全的地方,以便遗忘的时候拿出来看。

请记住,这个世界上没有绝对的安全,无论再优秀的密码策略都无法将风险降为零,它们只是尽可能地降低风险。密码是个人网络信息安全的钥匙,在网络高度发达的今天,各类木马病毒横行,密码危机应当视为网络安全重中之重。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/sole/view/128929.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code