央廣網北京9月17日消息 據中央廣播電視總臺中國之聲《新聞超連結》報導,在網絡時代,信息安全越來越受到重視和關注。近期,某位演員稱自己在某問答平臺帳號被盜一事就引起熱議。這片盜號的疑雲,還從涉事平臺飄到了其帳號關聯的郵箱平臺頭上。
第45次中國網際網路發展狀況統計報告數據顯示,截至今年3月,有12.5%的受訪網民表示在過去半年上網過程中遭遇帳號或密碼被盜。
網絡帳號到底可能通過哪些方式被盜?哪些行為讓我們的網絡帳號更危險?相應地,要如何提升自己密碼、帳號的安全性?各平臺的程式設計師們會為守護用戶的帳號做什麼?
網絡帳號是如何被盜走的?
盜號疑雲從一個平臺飄向另一個平臺。
網絡帳號真的容易被盜嗎?
我們先看看網絡帳號可能是如何被盜走的?
如果我們設置了「123456」這樣的密碼,可能也不用思考這個問題了。
這類密碼可以說是讓採取「暴力破解」方式的盜號者不費吹灰之力,就推開了我們虛掩的網絡帳號大門。
在得到用戶帳號名或手機號碼等信息後,盜號者就可以開始「撞大運」用一些常用密碼或靠密碼字典去批量「撞」一批帳號。
密碼位數越多,數字、大小寫字母、符號等包含的元素變化越多,越難被遍歷窮盡,被「撞」對的機率也就越小,密碼越沒有意義、沒有規律就越難被破解。
阿里安全高級安全專家永良還表示:「像123456或者『I love you』,或者其他一些有意義的字符串,這種被暴力破解的成功概率還是較大的。無意義的字符串,長度越長的,被破解的難度越大。基本上,10位以上的我覺得對於盜號者來說難度就已經非常大了。」
那麼,當我們手握一組自己都可能不小心會記錯的複雜密碼,網絡帳號們是不是就安全了呢?請注意這裡所用的複數——網絡帳號們。
在保障網絡帳號安全上,「一招鮮,吃遍天」行不通。因為一旦這個密碼在安全性比較差的平臺被洩露後,用著同樣用戶名和密碼的其他平臺的帳號可能也會被盜號。這就要說到「撞庫」和「刷庫」了。
永良介紹,用這樣的方式,黑客就要前提先有一批帳戶密碼列表。這可能是通過「釣魚」得到的,也可能是前期有人黑掉了一些網站,就把其資料庫拿出來,供隨意下載或在暗網販賣。
這樣一來,如果某帳戶已經在某些社工庫裡,或者因為某些網站安全性較低而洩露了帳戶密碼,又在其他平臺使用了同樣的帳號密碼,那麼,盜號者就可能直接用已經獲得的信息,攻破新的平臺。
都說「狡兔三窟」,精明的網絡用戶也要多準備一些密碼組合。
此外,「釣魚連結」也是比較常見的一種盜號方式。
它就像拿著原版鑰匙去配鑰匙一樣,能夠直接獲取用戶的帳號和密碼。
釣魚連結誘導進入一個假冒的網站,讓用戶「認錯人」,從而套取到用戶帳號信息。
平臺如何對抗盜號?
各大平臺的程式設計師們有什麼「大招兒」來守護自家用戶的帳號呢?
阿里安全高級安全專家永良表示,這既考驗平臺的安全建設也檢驗運營中識別攻擊等能力:「像阿里現在是基於新一代安全架構進行防護,怎麼能在系統最初建設的時候就把安全能力、安全組件就融入進去。另一個就是安全運營。比如說,同一個IP有大量的請求過來去刷帳戶和密碼,做登錄的請求。這種其實在去做的是機器流量的識別,怎麼能夠在風控算法這個角度來去判斷它是不是在一定的安全環境,這一次請求是本人的請求還是一些惡意的請求?帳號會不會被別人盜取,更多地還是在看平臺怎麼去做帳戶保護。」
如何證明我是我?
安全程式設計師要怎麼去做帳戶保護呢?本質就是去識別這一次來登陸的人是不是帳號所有者本人。
程式設計師們如何來判斷到底是不是用戶本人在操作?
輸對用戶名和密碼只是一項基礎考察。
永良介紹,密碼是一個最基礎的信息,是一個單因子,平臺能夠做的其實是多因子認證,像手機簡訊驗證碼,綁定身份證號碼,設置安全問題等等,用更多的因素疊加起來去判斷。
但是,在提供其他個人信息去證明自己身份的時候,用戶可能也會擔心,如果我這個帳號被盜了,盜號的人是不是也就直接掌握了我的其他信息呢?一丟丟一串,會這樣嗎?
永良表示,從系統設計角度來看,拿到帳戶權限和能不能拿到這些綁定的基礎信息是兩回事。大部分網站會做一些模糊化的處理,比如,只能看到身份證號的前幾位和後幾位,中間是被模糊處理掉,是看不到的。
最後,還有一個地方可能會被普通用戶忽略,那就是所使用的網絡本身。
專家提醒,儘可能不要去用公共WiFi或者一些不安全的網絡,因為它可能去做一些流量劫持,有可能會把一些重要的帳號密碼,甚至cookie都拿走。這取決於會不會有人在 WiFi上做手腳,或者說,有沒有攻擊者獲得了對應的權限。有沒有這個風險,個人用戶是沒法判斷的。
編輯:劉飛 楊揚