摘要: 【赛迪网-IT技术讯】这两天新闻报导将一次针对Sony PlayStation Network(SONY PlayStation网络)和Sony Entertainment Online(SONY娱乐在线)的攻击说成是“另一次黑客入侵”,或是“Sony又被黑了...
【赛迪网-IT技术讯】这两天新闻报导将一次针对Sony PlayStation Network(SONY PlayStation网络)和Sony Entertainment Online(SONY娱乐在线)的攻击说成是“另一次黑客入侵”,或是“Sony又被黑了”。然而,从一篇来自Sony资深副总裁兼信息安全官的博客文章看来,根本就不是这回事。
这次攻击是针对Sony用户的PSN帐号,仅此而已。这个身份不明的黑客,自行建立或找到了一个帐号与密码组合的信息库,然后试图用多次尝试的方式登录到PSN和SOE。绝大多数用来试图登入的帐号密码都失败了,实际上只有低于0.1%是成功的。也因为如此,Sony认为这些帐号密码并不是直接窃取自Sony的,无论是来自现在或是过去的入侵事件。这个信息库应该是不知道从哪里拿来的电子邮件地址和密码的排列组合,然后就被用来对Sony做暴力攻击。因为很多用户有个不好的习惯,就是在使用不同服务时,都会用一样的密码。
当Sony发现这种针对其服务的不正常活动后,立刻就将所有受影响的帐号锁定了,并且通知受影响的用户尽快更改自己的密码。在这0.1%的受害者中,只有小部分帐号在被Sony锁定前出现过不正常活动。这也代表着这次的损害被成功遏止了。
事实上,这起事情不应该被当成是Sony的失败,而是成功。他们通过自己的监控系统监测到异常行为,迅速采取行动,遏止损害并封锁受影响的帐号。他们还要求受影响的用户更改自己的密码,以便提高帐户安全性。当然,想到过去Sony被入侵的事件,这个信息库也很有可能和Sony之前被窃取的数据有关。但这也表示在事件发生之后就大规模执行密码重置政策,会让大多数被盗数据变得无法使用。
Sony已经从他们的损失中学到了教训。有没有遭到攻击并不重要,重要的是如何处理。对Sony的客户来说,重点并不在于Sony有没有记得吸取经验教训,而在于我们用户还是有些重要的事情需要学习。
多个网站上使用同一组密码一直都不是个好主意
在多个网站上使用同一组密码一直都不是个好主意,所以尽量在每个网站都使用独特的密码。虽然这听起来很复杂,也难以记忆,不过有个简单的方法可以做到。利用大小写、数字和特殊符号(例如$%&!)建立一个复杂的密码。选一种方法来区分在每个网站的密码。例如,将网站名称的第一个和最后一个字母加到最初的复杂密码的开头和结尾。这样这产生了既独特又容易记住的密码了。
安全或密码找回问题,答案不一定要是真的
至于那些安全或密码找回问题,也是最常见的入侵帐号的方法之一。如果需要提供“安全问题”的答案,请先想想这答案是否真的安全。安全指的是,你是唯一可以回答这问题的人。如果的确是这样,那就可以用它。如果被要求使用标准的问题,例如“第一所学校”或“第一只宠物”,记得答案不一定要是真的,只要是你可以记的住就行了。
注释:作者Rik Ferguson现为趋势科技资深安全顾问。
