這一天,小編的郵箱收到通知,某賬戶登錄存在異常,趕緊登陸該賬戶查看了一下近期活動,有異地登陸現象,忙修改密碼,然後自查系統,不過由於好久都沒登陸過該賬戶,基本上可以排除賬號密碼被木馬盜取的可能性。而該網站的安全性還是有些保障的,基本上可以排除洩露的可能,一來二去就可能是被撞庫了。
於是拜託某高手用他的付費賬號在某暗網社工庫中幫忙搜索了一下,不一會兒,高手發來一長串截圖,好吧,這張截圖裡的某條記錄把小編忘記多年的在某論壇註冊的賬號都找回來了,真是淚流滿面啊。
接下來小編就只能挑選著一些重要的賬號進行密碼更改操作了,還有些賬號因為太久沒有登陸都給網站或論壇銷號了。還有些已經根本用不上了,可是網站卻沒有提供銷號功能啊!
嗯,小編以前也犯了很多網友所犯的錯誤,那就是使用通用的賬號密碼,簡單的來說,就是利用同一個賬號名稱和同一個登錄密碼來做全網通用的註冊賬號,結果就是慘兮兮的。
因為隨便一個網站或論壇裡的賬號密碼遭到洩露,這些洩露出來的賬號密碼就會給黑客們利用來撞庫,也就是利用所獲得的賬號密碼來嘗試登陸其它網站,看看能不能得到有用的信息。而這些被黑客入侵導致拖庫進而大批量用戶的賬號密碼被竊取的事件,不僅限於小網站小論壇,不說遠的,最近的就有幾個大型網站慘遭荼毒。
許多用戶都習慣於在不同的網站註冊時使用相同的帳號密碼來註冊新帳戶,這也是是許多用戶的無奈之舉。畢竟,目前還沒有更好的身份驗證方式,指紋、瞳孔、聲紋、人臉識別等等都還未普及,在電腦上,更多的使用的依然是賬號密碼登陸方式,要用戶一個網站一個賬號密碼,那記憶起來可就麻煩一些了,當然,把它寫下來是個不錯的主意,但是你不能隨時攜帶著密碼紙吧。
一、你的賬戶密碼被洩漏沒?兩個可以查詢洩漏賬戶密碼的網站
開篇時小編拜託高手查詢賬號密碼洩露的網址,那是暗網,而且是會員制,會費也不低,當然資料也是最全面最新的,至於網址這裡就因法律法規而無法顯示。不過還是能提供兩個目前大眾可以查詢的免費密碼洩露查詢網站,當然裡邊的資料可能不是最新最全的。
首先是一個由 1Password組建的一個國外的安全檢查站 - have i been pwned,用戶可以在該網站輸入自己的郵箱,來檢測你的賬號是否在洩露賬號列表中,並可查詢出洩露站點。
操作很簡單,在網站的搜索框輸入你的Email 或常用的帳號,再點擊pwned?按鈕,就可以獲得結果。
在搜索結果中,如果是顯示“Good news — no pwnage found!”,就表明目前在它的資料庫中還沒有找到相同的資料,至少目前該網站收集到的洩露庫中沒有資料。
暫時表示安全
但是如果搜索結果顯示“Oh no — pwned!”,就證明你所查詢的郵箱或賬戶已經遭到洩露,下邊還顯示了在多少個網站洩露的數據中找到了該賬號,
慘遭洩露
別急,往下拖,你可以看到具體洩露的網站,還能看到該網站洩露了哪些具體的內容,比如email地址、賬號、密碼等內容。嗯,在這裡小編又找到了一個已經忘在九霄雲外的某網賬號。
查看具體洩露網站
在have i been pwned中,還可以看到具體有哪些網站曾經被洩露過用戶資料信息。
查看洩露網站
想看看你的密碼安全不?多少用戶在使用相同的密碼以防止暴力破解,在have i been pwned中也能夠查詢,在Passwords選項中輸入你所使用的密碼,就可以查看到該密碼的通用性。
查看密碼通用性
14億!連密碼都能輕鬆看到的查詢庫
再來看看另一號稱有14億郵箱密碼數據庫的密碼查詢網站,訪問該網站後,用戶可以按照用戶名或郵箱地址來查詢特定郵箱是否存在密碼洩露。與have i been pwned不同的是,該網站的查詢結果全為明文的洩露密碼信息,也就是說可以完整的看到賬號與密碼資料,你可以查詢到其它人也可以輕鬆查看到,所以查到有洩露,抓緊修改密碼。
某密碼洩露查詢網站
該網站的查詢速度慢,得稍等片刻才能獲得查詢結果。有結果就是遭到洩露了,沒有則竊喜一下吧。
查詢結果
沒關係,我又不是大人物,黑客怎麼會盯上我這個小人物呢?非也非也!
黑客們入侵各個網站所獲得的資料,會建立一個綜合查詢庫,然後會在暗網中以會員形式查詢甚至出售。綜合各個網站得到的賬號密碼和資料消息,還有在大數據分析下,在社交網站中可以得出你的興趣愛好、網購記錄、在你的雲備份裡獲得照片、視頻甚至不可描述的需保密內容。甚至可以獲得你的身份證信息(嗯,目前國內所有遊戲都需要實名認證,發表評論也需認證),進而可以憑藉獲得的信息幹出許多你自認為不可能的事兒。
黑客可能會用你的手持身份證照片開網店賣假貨,更嚴重點的,他們會用你的信息借網貸,一些不太正規的應急借貸認證非常寬鬆,壞人用你的身份借了錢就消失不見了,這筆錢可能就要你這個冤大頭去還了。
所以,千萬不要在雲存儲中存儲證件照片,特別是手持身份證照片!!!
憑藉一個就被納入社工庫的QQ號,就可以查詢到該用戶用過什麼密碼,綁定過什麼郵箱,使用地點、好友關係、加入的QQ群。
二、你的密碼靠不靠譜?通用密碼不能用,弱密碼一樣不能用
據密碼洩漏查詢中可以看到,不少用戶使用的都是弱密碼,所謂的弱密碼即容易破譯的密碼,多為簡單的數字組合、帳號相同的數字組合、英文單詞、鍵盤上的相鄰鍵或常見姓名,例如“123456”、“abc123”、“Michael”等,並且密碼位數少於8位的亦屬於弱密碼範疇。
這類的弱密碼極易遭到黑客的暴力破解,據某網站的測試結果“六位數密碼 "pYDbL6" ,CPU需要90分鐘,GPU只要四秒,而七位數密碼 "fh0GH5h" ,CPU需要四天的時間,而GPU只需17分30秒,如果是八位或九位數以上,隨機大小寫混合的密碼,則GPU需要算48天,而CPU需要算43年。”當然,這是幾年前的數據了,現在的應該更快,你的密碼算是弱密碼麼?可以通過這個網站來進行測試,該網站將詳細的給出你的密碼強度分數、複雜程度、加分及扣分條件。
查看你的密碼強壯不
那麼要創建一個較為強壯不易被暴力破解的密碼有那些要領呢?
◆ 密碼位數要足夠長(最少8位)
◆ 密碼需由字母+數字+特殊字符組成
◆ 密碼不能與登陸帳號相似
◆ 密碼不要用鍵盤鍵位排列順序 比如“qwertyuiop”
◆ 密碼不要個人信息如生日、姓名拼音等 容易被猜測破解
來看看這個被譽為史上最牛最詩意密碼“ppnn13%dkstFeb.1st”它當然屬於強密碼範疇,而某位有才的網友直接將其意義翻譯出來“娉娉嫋嫋十三餘,豆蔻梢頭二月初”,這太有才了。
三、拒絕通用密碼與弱密碼 請個靠譜的賬號密碼保險箱
使用賬號密碼還有那麼多的限制,又要每個網站使用不同的密碼,都不知道該用啥密碼好了,也不知道如何記住這麼多網站的密碼,真的要拿個本子寫下來麼?可是本子也不安全啊!沒關係,接下來請出一個小軟件“KeePass”來幫你創建、管理、記錄、使用密碼,你要做的就是記住該軟件的主密碼就可以了。重要的是它有手機版,可以隨身攜帶。
KeePass:它是一個密碼管理器,可以幫助用戶產生不同的強密碼,也可以幫助用戶記錄這些密碼,還能幫助用戶自動填寫密碼。
KeePass為英文軟件,不過用戶可以通過下載簡體中文語言包(將語言包解壓到KeePass安裝目錄),然後“KeePass主界面菜單欄→View→change language →simplified chinese”即可將其轉為簡體中文操作界面。
KeePass主界面
KeePass也有手機版,用戶可以在手機中安裝KeePass,然後將數據庫拷貝到手機中,使用KeePass手機版打開該數據庫就可以憑藉管理密碼查看存儲的數據。
KeePass手機版
四、二次驗證讓賬號更安全
現在許多網站都加強了防範措施,開啟了二次驗證功能,所謂的二次驗證,就是當用戶使用賬號密碼登陸時,需要接收手機短信或者email所收到的驗證碼才能進入或者才能訪問敏感信息。開啟該功能後,即使別人拿到你的賬號密碼也沒有權限做啥事兒。比如訪問微軟賬戶裡的敏感信息時就會要求用戶進行驗證。
微軟賬戶的二次驗證功能
對於蘋果設備用戶,請加強你的Apple ID賬戶密碼安全,開啟雙重驗證,避免因為賬號密碼洩露而導致設備被惡意鎖機勒索的事情發生。
Apple ID雙重驗證
鵲結語:不要用通用的賬號密碼,特別是在重要的網站上。開啟安全認證功能,比如可開啟異地登陸需要驗證手機甚至每次登陸需要驗證,還有開啟設備鎖,在大數據時代,一切安全為上,小心駛得萬年船!
閱讀更多 米小粒先生 的文章
