摘要: 现在,密码已经成为人们网络生活的一部分,邮箱密码、QQ密码、淘宝密码、银行密码……这么多密码,用的好了当然一切都好,只要其中一个出问题,那就可能带来巨大的麻烦。那么,你知道密码常见的风险是哪些,用哪些措施可以提高密码的安全性吗? 数字账号风险,从QQ密...
现在,密码已经成为人们网络生活的一部分,邮箱密码、QQ密码、淘宝密码、银行密码……这么多密码,用的好了当然一切都好,只要其中一个出问题,那就可能带来巨大的麻烦。那么,你知道密码常见的风险是哪些,用哪些措施可以提高密码的安全性吗?
数字账号风险,从QQ密码说起
首先我们要知道的是,我们常用的密码,通常是成对出现,即由“帐号”和“密码”两部分组成。比如QQ号和QQ密码、银行卡号和密码、邮箱帐号和密码……等等等等。单纯知道某个账户的密码,其实毫无意义,因为当你不知道账户是多少的时候,是无法利用这个密码做任何事情的,就像给人一把钥匙,但不告诉别人这把钥匙能开哪把锁,那这钥匙也就是一块废铁。
所以,现在大型互联网站通常会采用一个安全措施:当用户输入的账户名错误之后,系统会提示“账户或密码输入错误”,为什么不直接告诉用户“你输入的账户名错误”呢,这就是为了降低黑客通过猜测将账户和密码对应起来的概率。
普通网民最早认识到密码问题,最早应该是从QQ密码被盗开始的。大约在2000年前后,QQ密码被盗成风,很多所谓的“黑客”以窃取六位号为荣,经常在网上看到有到处炫耀自己的所谓情侣号、豪华号的人,由此开始,利用QQ传播病毒等也成为严重的安全问题。
其实,从密码安全的角度来讲,QQ号的设计是有一定问题的(当然这个问题的形成有它的历史原因),我们在上面说到,密码由两个部分组成:帐号和密码,因为QQ号是数字依次排列,等于黑客已经默认知道,凡是5位、6位、7位的QQ号一定都是有人用的,这样黑客只需要猜解密码即可,破解难度降低,风险增加。
所以世界上所有著名的互联网厂商,微软、google、facebook几乎都是以邮箱帐号为登录名,这样相对比较安全。腾讯应该也认识到了这个问题,所以后来对QQ的安全体系进行了大幅修改,逐渐引导用户将“邮箱帐号”与QQ号绑定,使用邮箱登录,这样就可以解决“数字帐号风险高”的问题。
密码面临的四种安全风险
QQ密码只是其中的一个例子,只不过由于他的用户群广泛,出现的问题更广为人知而已。事实上,所有需要密码的客户端软件和网站,都可能遇到密码窃取。一个最简单密码,从用户输入、到键盘、到浏览器、到网站存储,每个环节都可能成为密码保护的薄弱点,下面,我们将对其进行详细的分析:
第一,PC端窃取。根据相关数据统计,密码被盗最大份额、最危险的环节,是在本地机器上(PC)的木马窃取。黑客主要采取的手段有“记录键盘法”、“屏幕截图法”、“伪造客户端法”等。
所谓记录键盘法,就是利用病毒记录用户输入的键盘信息。病毒在监测到要盗取的软件客户端启动后,记录下用户输入的信息,将这些信息用邮件发动到特定邮箱。在早期的QQ盗号案例中,Keylogger(键盘记录器)、trojan(木马)占据了相当大的比例,当初在QQ用户中流传了很多所谓的“防盗号秘籍”,包括了什么颠倒输入法、汉字密码法、少数民族文字密码法等等千奇百怪的方式。
确实,早期的键盘记录器功能比较简陋,那时候使用这种奇怪的密码方式可能有用,但随着盗号木马功能的增强,有的木马甚至会定时截屏+键盘记录,这样只要是输入密码,就很少能逃过病毒的魔爪了。
屏幕截图法是另一种窃取密码的方式(只不过不太常用),早期的一些客户端软件,用户输入的密码未经严格加密,使用简单的方式即可将密码框中的星星破解成明文密码。病毒将当前桌面截图,即可获取到用户输入的密码。
因为上述两种方式很容易被杀毒软件拦截,后来病毒中出现了“伪造客户端”法。典型的病毒当监测到电脑中运行QQ、MSN这样的软件时,马上将其强行关闭(这时候用户会看到QQ异常退出等),然后病毒自己会跳出一个仿真度极高的伪造软件窗口,诱惑用户登录,用户在其中输入密码后即被窃取。这种利用了用户心理的窃取方式,成功率非常高。
第二,网关及局域网窃取。在早期的客户端软件中,聊天记录是不进行加密的(直到现在,MSN聊天记录也不加密),因此,黑客通过局域网抓包软件,即可抓取到局域网内包含密码的封包信息。因此,在企业局域网、小区局域网中使用密码的时候,网络安全管理成为密码安全的重要组成部分。
第三,服务器端窃取。服务器端窃取密码,也有多种可行的处理方式。
(1)扫描软件服务商的服务器漏洞,直接将其密码库窃取。这个难度较高,但因为管理密码的机构数量少,而黑客数量相对多……不怕千日做贼,就怕千日防贼。事实上,几乎所有的国内大型互联网服务商均遭到过“拖库”攻击,被黑客把密码库直接窃取。2011年,某大型SNS被拖库,导致其不得不强制要求所有的用户重置密码。
(2)暴力破解。这种方式通常属于“黑客已经知道帐号,想猜出密码”的情况。黑客可以先在SNS了解某个用户常用哪个邮箱,然后通过暴力穷举法来猜解出其密码。通常情况下,用户都会倾向使用自己熟悉的词语、拼音、数字当作密码,所谓的“我的生日就是密码”、“我的手机号码就是密码”就属于这一类。这些密码被制作成一个密码字典,黑客利用其来一个个进行尝试,最终获取到正确密码。
(3)利用密码找回漏洞进行破解。为了方便忘记密码的用户找回密码,每个互联网服务商都有自己密码找回服务,有的是让用户回答“你的宠物叫什么名字”,回答对了就可以找回密码,有的是把密码发送到事先设定的邮箱中。每种找回方式都有自己的漏洞,例如,知道用户宠物名字的人,有时候可能有好几十个;而事先设定的邮箱,有时候会因为种种原因被黑客控制。前不久发生的80SEC被黑事件,就是因为其成员使用了某邮箱设定密码,但是因为有段时间未曾登录,导致其邮箱帐号被服务器收回。黑客光明正大的自行注册了那个邮箱,又利用邮箱找回了服务器密码。
第四,网络钓鱼型窃取
与病毒窃取、拖库攻击相比,近年来,通过网络钓鱼进行密码窃取的方式逐渐受到黑客青睐,这种方式不需要太高的技术能力,只要有“创意”就能从用户那里骗取密码。
黑客通常会伪造相关网页。目前热门的伪造对象包括:网游网站、QQ、银行、微博等。黑客只需要做个看起来像真的网页,然后想办法诱骗去登录即可。今年初某银行遇到的大规模钓鱼攻击,就是黑客伪造了该银行网站,再通过群发手机短信,骗取用户的帐号密码,进而窃取银行资金。
加强密码安全的五个措施
分析了黑客窃取密码的种种方法,相对应的,我们也就知道了如何预防和阻止黑客对密码的窃取:
第一,进行密码分级管理,重要密码和非重要密码一定要严格分开。比如银行密码、支付宝密码,属于最重要等级的密码,应该单个密码分别设置,不要使用不安全的邮箱设置成其密码找回依据。在注册一
