近日,烏雲網曝出大麥網(damai.com)用戶密碼資料庫在網上公開售賣,涉及用戶多達600餘萬!
在利用密碼進行一次md5解密後,果然可登陸大麥網。
在對洩露數據中取出三個相鄰的帳號進行登錄,抓包分析其用戶ID是連續的,技術上已經初步證明該數據有著很大的拖庫嫌疑。目前大麥網已確認用戶信息洩露消息的真實性,並緊急發布公告,通知大麥網用戶及時修改自己的密碼,另外也提前預防多出相同密碼造成的撞庫風險。
什麼是拖庫? 拖庫意味著什麼?
拖庫,又叫「脫褲」,往往是由於一些小的網站伺服器安全措施不到位,被黑客入侵,拖出資料庫,導出用戶名及密碼,然後在別的地方使用。例如以一定的價格售賣給網上的「好事者」。
撞庫,就是網上的「好事者」通過一些渠道獲取大量的用戶名和密碼,以此帳戶密碼去大的網站試登陸,(軟體自動進行,有的識別碼也能自動識別)撞到一個就OK。這就意味著,一旦用戶在多家站點使用相同的帳號密碼,只要其中一家因為安全措施不到位被拖庫,該用戶的所有帳戶信息都將受到威脅!
而事實上,獲取一個網站資料庫內的數據並不一定需要非常高深的技術以及成本,一個掌握一些基礎黑客技術的人再加上一個功能強大效率較高的黑客工具,即可完成「拖庫」任務,而一旦非法獲取的資料庫被用於撞庫,往往將造成更大的危害。
拖庫危害——密碼洩露的多米諾效應
2011年12月21日,某專業網站資料庫開始在網上被瘋狂轉發,包括600餘萬個明文的註冊郵箱和密碼洩露,大批受影響用戶為此連夜修改密碼。此後,178遊戲網等5家網站用戶資料庫又相繼公開,更有媒體曝光數十家大型網站已遭黑客「拖庫」,從而將2011年末的密碼危機推向高峰。正如四年前的密碼危機,如今600餘萬大麥網用戶信息被網上公開叫賣,一旦被「有心人」加以利用,不斷撞庫其他網站,很可能會引發一系列密碼洩露的連鎖效應,更多網站的數據會被黑客放出。
儘管關於如何設置高強度密碼的文章劈天蓋地,但很多網民仍習慣為郵箱、微博、遊戲、網上支付、購物等帳號設置相同密碼。
一旦資料庫被洩漏,所有的用戶資料被公布於眾,任何人都可以拿著密碼去各個網站嘗試登錄。對普通用戶可能造成財產、個人隱私的損失或洩漏,詐騙者利用你的信息冒充客服進行一系列詐騙。而對一些敏感的金融行業的用戶來說,這甚至是致命的危害!
防止撞庫——你的密碼是否犯了「大忌」
根據2014年發生的某購票網站用戶信息洩露數據,對網民的密碼使用習慣調查,發現大量網民在設置密碼是犯了這些大忌,請檢查一下自己是否在其中:
一、密碼中包含常用詞彙、生日、手機號、姓名拼音或縮寫等;
二、從來不改密碼,一個密碼用很多年;
三、所有的密碼都保存在電腦裡、瀏覽器中;
四、密碼長度過低、純數字;
五、不設置密保措施或二次驗證;
如果你在設置密碼時犯了這些「大忌」,那麼你的帳號被盜的危險性也將提升,因此,養成一個良好的密碼使用習慣,對於保障帳戶安全是十分必要的。
提高帳戶安全的可選方案
一、設置高強度的密碼:形式上使用大寫字母、小寫字母、數字、非數字符號的組合;
二、經常修改密碼:可定期更換密碼,每月或每一季更換一次,並且永遠不要把密碼明文寫在紙上;
三、在不同的網絡系統使用不同的密碼,對於重要的系統使用更為安全的密碼;
四、不將密碼保存在本地:常規瀏覽器保存密碼沒有一個很好的加密策略,這往往為黑客破解密碼大開方便之門;
五、使用更安全的認證方式:如果你覺得密碼太複雜記不住,可以採用掃描二維碼登錄、刷臉登錄、指紋識別登錄,每一種方式都比傳統密碼更安全便捷,只需在手機中安裝一款諸如洋蔥令牌的認證軟體即可實現。
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。