杏彩独特密码对网络账户安全的重要性

2019-09-09 作者:战略战术   |   浏览(109)

你的各个网络账户的密码是一致的还是各不相同的?如果之前对这方面不了解,您可能需要考虑我们今天在这里提供的信息,并开始更改这些密码!虽然我们过去讨论过密码安全这个主题,但

这篇文章是2014年12月15日的文章,这里做一下整理。前面是几点介绍,如果没有耐心的话,可以直接跳到第二部分,那里可能给你一点实际帮助。

浅析账户安全

你的各个网络账户的密码是一致的还是各不相同的?

一、几点介绍

“哎?我的这个网络账户的密码是多少啊?密码明明就是这个啊,为什么总是显示密码错误呢”尝试了数个密码之后,还是没有登陆成功,我在那焦虑的回想。这样的情景我想不止我一个人经历过吧。如果你频频出现忘记密码的情况,那么说明你管理网络账户密码的方法已经跟不上你的需求了。
  我从2007年接触网络至今也有8年的网龄,从一开始的没有任何安全和个人信息的意识到现在越来越重视,这中间的过程也是相当漫长的。拿某聊天工具来说,刚接触网络那时候的账号经常被盗,删号、乱发东西的情况比比皆是,那时候的某聊天工具安全做的是实在不尽人意,而这两年明显少了很多,也算是有所改善。当然,我们也不能完全被动的依赖于网络公司的安全,重要的是自己要有个人信息的意识,保证自己的个人信息不被泄露甚至利用,这才是最主要的。
  伴随网络而生的,最重要的一道防线就是密码的问题。很多网络公司如今对于网络密码都做了一些要求,比如大小写反复,字母配合着数字等,这都是出于用户安全的考虑。对于我们网名来说,特别是拥有很多的网络账户的时候,账户和密码的管理问题就可能让我们比较头疼。如果所有账号的密码不一样,很多账户又不经常使用,那记忆是一个很大的考验,经常出现密码忘记的情况(也就是开篇的那副情境),或者密码混淆,这非常浪费时间以及令人恼火,还得更改密码,如是某搜索引擎和啥聊天的,更改密码要验证、申诉、等待,性子急的人估计是要疯掉的。但如果所有的账号使用同一密码的话,倘若,万一某一账户被窃取,那其他的账户的安全将很堪忧,如果你没啥重要的信息、隐私啥的,盗也就盗了,在申请注册一个就行了。但如果你的个人信息比较多比较重要的时候,那么后果就会很严重!
  有了个人信息安全意识之后,很长的时段时间我在摸索,试图找到一种更好的管理密码的方法,但尝试之后觉得都不可靠。这个问题也一直搁浅。后来无意看到了一篇来自译言的博文,《密码怎样改变了我的人生》,写者刚刚经历爱情的挫败,然后密码又凑巧到期,闷热的天气,迟到,带着机车头盔匆忙赶到办公室,汗流浃背、费劲周折和时间才解决了这个问题,恼火、愤怒,情绪可想而知。经历挫折后的人,一旦走出来,其人生将是非常值得期待。为了使自己从这些挫败中解脱出来,他从前任领导Rasmus那里学到了将待办清单和密码相结合的方法,经过改进内化,终于用一个密码改变了自己的生活。
  当然这篇文章并没有帮助直接帮助我解决个人的密码管理的问题,我自然也不需要像他那样,用密码去改变自己的生活。仅仅在寻找,一种简单可行、不用记忆的密码管理体系,保障个人的信息的安全。问题的转机还是偶然。有一天,我在通往实验室的路上,突然脑海中出现了这个问题,而且是带着答案来的,密码管理的问题竟然是在这个无意识的时候自动的找上了门来。我想这就是《暗时间》一书的含义吧。当我们被某个问题难住的时候,不妨把这个问题搁在自己脑海中,随着时间的软磨硬泡,答案就会在某一天不经意的来到你的身边。

前言

如果之前对这方面不了解,您可能需要考虑我们今天在这里提供的信息,并开始更改这些密码!

二、如何管理好网络账户密码?

废话了这么多,还是快快进入正题吧。这个密码管理究竟是怎样的呢?拿一张图来说明,看看我究竟如何管理好我自己的网络密码。

杏彩 1

  我的网络密码的组成两大块,一块是通用密码,一块就是特定密码。通用密码好说,就是对于一些不太重要的网站,自己会设定一个通用密码。而特定密码有三部分:网站的定位+姓氏+特殊数字。下面说明一下。

  • 网络的定位,一个网站肯定是有它的定位,而我们自己也会对它进行有意无意的划分,看你自己如何定位了。比如微博,有人可能定位成娱乐,那么就可以选用Leisure或者Relaxation,有人可以定位为世界,就可以选用World或Global;再比如豆瓣,有人可能定位成阅读,那么就可能是Reading,如果定位成书籍,那也可以是Book。注意,这里我选用的单词第一个是大写。类似的网站,你可以做一个统一的定位,然后用文本记录下这些定位的单词。
  • 姓氏,可以是一个@符号加上你的姓氏,也可以是对于你有特殊意义的几个字母,都行。不要太长,三四个字母就可以。
  • 特殊数字,这是一串特殊的纯数字,找到你自己的特殊数字,但是尽量避免使用你的生日之类。数字也尽量不要超过5、6个。

说明:后面的姓氏和特殊数字可以统一一下,这样做的好处是,我们根本无需记忆自己的密码了。只要知道网站的定位是什么就清楚了自己的密码,而且你对于网站的定位通常不会发生变化。
  这样的一个密码管理基本能够满足了我目前的需求,算是比较可靠了。当然,你也可以利用lasspass或者keepass这类的密码管理网站,如果你信得过的话。还有善用佳软老师的通过Vim加密文本的方式,或者你自己结合这些做法,即采用定位的方法,也用文本记录下来。我目前采用的就是这种做法。不管采用什么方法,最为重要的是,你要找到适合自己的密码管理方案。

随着企业业务和规模的不断增长,所受到的攻击也呈指数上涨,其中账号越有价值的网站所遭受的攻击也相对频繁。本篇文章会从账号体系为中心围绕常见业务场景进行分析,从攻击和防御的角度进行展开。

虽然我们过去讨论过密码安全这个主题,但是今天我们想用一些最近的消息来说明为什么为每个帐户设置一个独特密码是如此重要。

三、Q&A

但是这样管理之后仍然是会存在一些问题,对于我来说,这些还算是小问题,能够接受。我来一一解释一下我的做法。

  • Q:有些网站设定了字符串的个数该怎么办呢?
    A:减少多余的数字,并做记录。比如某浏览器的密码上限是14位,但是自己的密码按照这个方法设定有15位,该怎么办呢?我的做法是,还是按照这个来设定密码,然后减少多余的位数,做一点记录。但通常多数的网站不会有密码上限的限制。

  • Q:英文单词太长了?
    A:同义替换!比如说娱乐,单词是Entertainment,那这个单词就略显臃长,那我们就可以这样想,娱乐,同义词有哪些?比如休闲,这个词Leisure,瘦了一点,替换一下就可以解决。

我们拿常见的业务场景来说会有注册、登录、忘记密码等。每个场景都会碰到不同姿势的攻击,考虑篇幅原因这里不对因漏洞原因造成的影响进行展开。接下来针对每一种场景做讲解。

纯文本剽窃

杏彩 2

最近有消息称,Facebook对用户数据的处理不当,不仅暴露了该公司的许多问题,也暴露了其首席执行官马克·扎克伯格的问题。

 

杏彩 3

1.注册场景

没品笑话之“当你在Facebook上写了个很好笑的笑话时”)

注册在账户安全中往往是攻击的第一道门,常见的攻击情况有恶意注册和短信轰炸。

最近重新浮出水面的爆料之一是一篇商业内幕文章,讲述了在2004年扎克伯格是如何侵入Facebook用户的私人电子邮件账户的。

 

然而,他轻而易举地就能够访问这些账户,这证明了为每个在线账户设置唯一密码的必要性。

先说恶意注册:

简而言之,扎克伯格查看了来自Facebook的私人登录数据,尤其是他想要访问的用户账户的登录尝试失败记录。这些登录的失败记录似乎是以纯文本的形式存储的。

通过注册大量的账号来达成一些不可告人的目的,这些目的是根据企业业务来的,拿我们的业务场景来说,就会存在薅新人优惠,商家刷单,刷好评,爬虫等等目的。其中部分是个体羊毛党,自己会根据一些教程去少量的注册薅个几单,当然最多的还是职业的羊毛党选手,就目前的反溯情况来看,这个产业已经十分的成熟了,完整的上下游体系并且有着明确的分工。不同的团队技术能力都不尽相同,之前也发现技术比较好的团队自动化流程已经非常的成熟了。

因此,尽管为了安全起见,正确的密码可能经过了适当的散列和编码,但扎克伯格是可以阅读错误的版本,而且他能够根据这些记录推测出用户使用的正确密码。

 

如果用户只在Facebook上使用这个密码,这不会是一个大问题,因为扎克伯格最多只能够访问他们当时在Facebook上发的任何信息。

杏彩,那么面对这种恶意注册,企业应该如何去预防呢。

本文由杏彩发布于战略战术,转载请注明出处:杏彩独特密码对网络账户安全的重要性

关键词: