科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全Yahoo! 用户密码泄漏启示录

Yahoo! 用户密码泄漏启示录

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

今天,有媒体报出Yahoo Voices 被黑,45 万个用户密码被泄漏。从被泄漏的明文的邮件地址和密码中我们发现,人们需要再次了解密码安全,避免一些给自己带来安全威胁的做法。

来源:ZDNET安全频道 2012年7月13日

关键字: 密码泄漏 迈克菲

  • 评论
  • 分享微博
  • 分享邮件

  迈克菲给用户的15个密码安全小贴士

  今天,有媒体报出Yahoo Voices 被黑,45 万个用户密码被泄漏。从被泄漏的明文的邮件地址和密码中我们发现,人们需要再次了解密码安全,避免一些给自己带来安全威胁的做法。

  从cnet.com的新闻报道中,我们看到有2295个密码使用连续数字,其中带“123456”的密码是最常见的密码。此外,还有一些其他例子,例如,将数字颠倒或者象征性地添加几个字母来进行混合。仅“111111”这个密码就被使用达160次,类似具有创意的“000000”被使用 71 次。

  大多数人并未意识到,有大量通用技术被用于破解密码,并且由于密码过于简单且被广泛使用,很容易使我们的账户存在安全隐患。对此,迈克菲建议用户,应该创建只有您自己明白,而对他人无意义的密码来保护您的信息安全。以下是黑客攻击惯用的方法和我们提供给您的一些密码安全操作技巧:

  黑客攻击惯用方法

  字典攻击:避免相连键组合——例如,qwerty 或 asdfg。不使用字典词汇、俚语词、常见拼写错误或倒过来拼写的词汇。这些破解依赖可自动将通用词汇插入密码字段的软件。借助诸如 John the Ripper 之类的工具或类似程序,密码破解几乎可以轻松搞定。

  破解安全问题:许多人使用名字(通常是配偶、子女、其他亲属或宠物的名字)作为密码,所有此类密码只需稍加研究即可被推断出来。当您单击网页邮箱服务或其他站点中的“忘记密码”链接时,会被要求回答一个问题或一组问题。答案往往能够在您的社交媒体信息中找到。这就是导致 Sarah Palin 的 Yahoo 账户被黑的原因所在。

  简单密码:不要使用个人信息(例如,姓名、年龄、出生日期、孩子的姓名或喜爱的颜色/歌曲等)作为密码。去年,有 3200 万个密码被破解,几乎1%的受害者都使用了“123456”。下一个最常用的密码是“12345”。其他常见的选择包括“111111”、“princess”、“qwerty”和“abc123”。

  一码多用:一码多用(电子邮件、银行和社交媒体账户)会导致身份信息被盗。最近两起的密码被盗事件揭示受害者中一码多用比例达 31%。

  社会工程:社会工程是一种煞费苦心的欺骗类型。作为传统黑客伎俩的一种替代形式,它是一种操纵他人来执行某些操作或者泄露机密信息的行为。

  确保密码安全的技巧

  1. 确保不同账户使用不同密码。

  2. 确保输入密码时无人偷看。

  3. 如果不使用设备或周围有人的情况下,要养成登出的好习惯——他人只需一点时间即可窃取或更改您的密码。

  4. 使用全面的安全软件,并确保软件始终保持最新状态,以防范键盘记录程序(键击记录程序)和其他恶意软件。

  5. 避免在您不能控制的计算机(例如,网吧或图书馆的计算机)中输入密码——它们可能带有旨在窃取您密码的恶意软件。

  6. 避免在使用不安全的 Wi-Fi 连接(例如,在机场或咖啡店)时输入密码——黑客会通过不安全的连接截获您的密码和数据。

  7. 不要将自己的密码告诉他人。您现在可信赖的朋友将来未必还是您的挚友。保证密码只有您自己知道,以确保安全。

  8. 根据被保护信息的敏感性,定期变更密码,避免长时间重复使用密码,至少一年变更一次。

  9. 密码至少为 8 位,包含大小写字母、数字和符号。切记,位数越多越好。

  10. 强密码应当是既易记又难猜的密码。Iam:)2b29! ——这是一个10个字符的密码,意思是我希望“I am happy to be 29!”(很高兴,29 岁了!)。

  11. 使用键盘作为调色板来创建形状。%tgbHU8* ——在键盘上顺序敲击,形成一个 V 型,字母 V 始于上部键。为了定期更改这些密码,可在键盘上的不同部分实现它。如果您希望更疯狂些,也可使用 W 形。

  12. 以一些已知的缩写、句子或短语作为密码很有趣,例如,2B-or-Not_2b? — 它的含义是“To be or not to be?”

  13. 将密码写下来也未尝不可,不过,一定要让它们远离计算机并且要与其他数字和字母混合在一起,让其乍看上去不像是密码。

  14. 您也可以写个“提示表”,其中列出线索来帮助您记住密码,但不要在表中包含真正的密码。例如,在上述例子中,您的“提示表”可能会列出“To be, or not to be?”

  15. 检查您的密码强度。如果您正在注册的站点提供密码强度分析功能,请注意其所分析的密码强度结果并留意修改建议。

  总之,对公众而言,保护自己是一种责任。希望那些现在存在密码安全隐患的人能更改密码。经常性(至少每6个月)变更密码是一个经验法则。这已是陈词滥调,但事实的确如此,密码需要高强度。让键盘成为您的调色板,并且更富创意。人们常犯的一个错误是使用字典词汇或俚语词。请当心,字典攻击方法使用可自动将词汇插入密码字段的软件以确保各种工具能够毫不费力地破解密码。

  (作者:迈克菲身份窃取领域安全专家Robert Siciliano)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章