在暗網市場,人們可以買到任何非法物品,如毒品、武器、虛假文檔,甚至是被盜的資料庫。雖然 Hansa 和 AlphaBay 這兩個最大的暗網市場已被關停,交易行為受到了一定的打擊,但這並不意味著暗網的交易被完全遏制。近日,暗網監控公司 4iQ 發現了高達 41GB 的數據文件,其中包含 14 億個明文存儲的帳號郵箱和密碼等登錄憑證。
研究人員認為,這是迄今為止「在暗網中發現的最大的資料庫集合」。即使是新手黑客,也能通過購買資料庫的帳號密碼信息,從而進行攻擊。此前,在暗網中出現的最大的資料庫是 Exploit.in 洩露的 5.93 億帳戶和 Onliner Spambot 洩露的 7.11 億帳戶。
這次資料庫是於2017 年 12 月 5 日在暗網論壇上發現的,資料庫中包含的明文登錄憑證具體數值是 1400553869。4iQ 的 Julio Casal 解釋道,這個資料庫使查找密碼的速度比以前更快,更容易。他舉例一個例子,在搜索「admin」、「administrator」和「root」這些常用的默認用戶名時,幾秒之內就返回了 226631 個管理員用戶的密碼。據極客公園了解,有了這些默認的用戶名和密碼,黑客利用最基礎的技術,就能發動攻擊。
4iQ 給出了排行前 40 的最常用的密碼排行表。從圖片中我們可以看出,使用弱密碼的人還有非常多,可見大家都沒有從中吸取教訓。「123456」仍然是最常用的密碼。
該公司進一步指出,總共有 14%的暴露的登錄證書從未公開過,也沒有在任何論壇上解密過,但是現在這些證書可以以明文形式提供給任何人下載。研究人員還認為,這個資料庫是 100% 解密的,並按照字母順序進行排序,所以對用戶造成了很大的威脅,因為有很多人在社交媒體和銀行平臺使用了相同的密碼。
一位業內人士告訴極客公園,這次的資料庫洩露事件,大致是各種庫的集合,很多廠商均中招了。雖然只是一些老資料庫,但這只是黑產中的冰山一角。
有人說,把密碼設置得複雜一點,就能保證帳號安全了,是這樣嗎?
央視在今年 3 月份報導了一起離奇的詐騙案件,受害者的手機沒有中毒,也沒有收到惡意的電話和簡訊,銀行裡的錢便不翼而飛了。經過調查發現,這是一起「撞庫」攻擊,也就是說,違法分子利用其他地方獲得的帳號密碼,去銀行嘗試登陸。隨後,對用戶的網銀手機號進行破解,最終盜取了銀行存款。因此,除了把密碼設置得複雜一些,還要針對每個網站設立不同的密碼。
但很多人紛紛表示,他們記不住過於複雜的密碼。那麼,我們應該通過什麼樣的技術手段,保證安全?
很多人第一時間想到了簡訊驗證碼,用戶只需填寫手機號碼,點擊「獲取驗證碼」,輸入驗證碼就能登錄了。但這種技術實際上並不安全,根據獵豹安全實驗室的雲端監控數據顯示,近 1 個月截獲的「簡訊攔截」類樣本變種數量超過 10 萬,影響用戶數達數百萬之多。2016 年,中國海天集團有限公司創始人兼 CEO Seeker 曾在黑客大會展示了一種名為「LTE/4G 偽基站+GSM 中間人攻擊」的技術,只需很低的成本,背上一個小背包,就能攻擊附近的人。他後來向媒體表示,最壞的情況是,黑客能以每秒 20 個手機用戶的速度血洗銀行帳戶。
圖 / 破解簡訊驗證的測試環境(來自黑客 KCon 大會)
隨著科技的發展,很多人認為生物識別技術會解決這個問題。通過指紋識別、人臉識別來驗證登錄。但生物識別技術也帶來了一定的弊端,2009 年,印度政府啟動一個生物識別資料庫的新身份項目,該項目名為 Aadhaar,收集超過 10 億人口的姓名、地址、手機號以及可能更為重要的指紋、相片和虹膜掃描,印度人生活的方方面面都需要這個項目。但隨之而來的是數據洩露事件,據外媒報導,印度執法部門 RTI 於近期發現超過 210 家政府網站在線曝光了 Aadhaar 的詳細信息。雖然數據洩露的嚴重程度沒有公布,但這一定會帶來嚴重的後果。生物識別技術和密碼不同,密碼可以更換,而指紋等生物特徵則無法更換。
蘋果在很早以前就考慮到了這一點,在設計 iPhone 5s 時採用 A7 主晶片,其中包含了名為「Secure Enclave」的高級安全架構,專門用於保護密碼和指紋數據。Touch ID 不會儲存指紋的任何圖像,而僅依賴數學表示形式。任何人都不可能通過逆向工程從這種儲存數據中獲得實際的指紋圖像。但是,業內人士告訴極客公園,並不是所有的公司都像蘋果一樣注重安全,有些公司會將生物識別的數據存在雲端,還是存在洩露的風險。
數字證書會是另外一種很好的方式,它是一種權威的電子文檔,可以由權威公正的第三方機構、企業級系統進行籤發,人們可以用它來識別個人的身份。由於存在不容易被偽造和截獲的特點,它被廣泛應用於網上銀行、電子政務、電子商務、企業內部應用、電子招投標等對於信息安全等級要求較高的場景。翼道網絡告訴極客公園,他們推出了移動端的數字證書,證書存儲於手機,不需要額外攜帶其他的硬體設備,降低了硬體的管理成本。
但是需要更換數字證書時,如何確保是真實用戶在操作?業內人士向極客公園表示,在企業內部,可以通過郵箱確認,在企業之外,只能通過大數據手段來驗證。因此數字證書更多被用於政企內部,以及高價值客戶等對於信息安全等級要求較高的場景。
其實,任何一種方式都存在被破解的可能。所以,很多人都提出了利用「雙因子驗證」的方法來解決上述問題,也就是結合密碼和實物(信用卡、SMS 手機、令牌或指紋等生物標誌)。例如,當使用聲紋識別驗證時,VoiceGesture 技術能讓智慧型手機傳輸超出用戶臉部的超聲波,以此確認聲音是否由真實用戶發出。實際上,隨著人工智慧時代的到來,瀚思等公司提出了用人工智慧分析用戶的行為的方法,以此確定你是否是一個真實的用戶,從而保證你的信息資產安全。
頭圖來源:視覺中國
責任編輯:雙筒獵槍