推荐阅读:
《万门大学倒闭,创始人连夜跑了》
《B站,竟然成了一个求偶平台。》
1
账户 admin?
这两天看到一个报道。
2018年5月乌克兰网络部队“第聂伯河”数据库专家,迪米特里·弗拉乔克(Власюк Дмитрий)发现,许多服务器通过一个标准的用户名和密码就可以访问,即“admin 123456”。
他当即就报告了值班人员,但这个报告很快就忽略了。
之后他还曾给乌克兰国家安全局(СБУ)打过电话,同样无回应。根据简历,弗拉乔克是乌克兰A1586军事单位的一名预备役军官。
也就是说,在2018年之前,任何人都可以用这个账户,登录一个国家的军事网站,很多机密文件随意阅览。
这个事情很有意思。
当然我们今天,不谈乌克兰的问题,主要看是和大家聊聊数据安全这件事,很多时候密码泄露在你想象不到的地方。
来给大家举个例子。
2
你的密码泄露了吗?
有这样的一个网站,叫做 have i been pwned?(我被骗了吗?)
这个网站名气很大,整个网站功能就只有一个,检测你的密码是否被泄露了?
那它是怎么检测的呢?在互联网上出现过很多次大规模的密码泄露事件,这个网站就把这些被泄露的密码搞到了一个数据库。当你输入邮件地址的时候,他会拿这个邮件地址和库里面的信息进行对比,如果发现有泄露,就会提醒你。我相信很多人看完这篇文章,都会跑到这个网站去试一试,查查自己的密码是否有被泄露了。像这样类似的网站有很多。假设呀,我这里仅仅是假设!如果我是一个黑客,我创建一个这样的网站,让大家输入密码检查是否泄露,顺便把你输入的密码记录下来。然后再通过其它手段引导你输入邮件地址,比如说订阅一下我,定期通知你的密码是否被泄露等等。也就说如果你在我的网站进行了检测,我就能记录下你的邮件和你输入的密码。在生活中,很多人的密码是通用的,我只要记录下你输入的这个密码,大概率我就可以访问很多你的账号。比如登录了你邮件,通过邮箱里面的邮件,我就知道了你都注册过哪些网站?再继续用这个邮箱和你输入的密码尝试登录其它平台。比如百度网盘,看看你的小秘密;比如登录微博、知乎看你都发布了什么;登录你的支付宝转个小钱。。。想想是不是很恐怖!请警惕任何让你输入密码的地方,尽量不同的平台用不同的密码。3
木桶效应
木桶效应,一个桶能装多少水,取决于木桶中最低的那块板。
其实做安全也是一样的。
我看到很多案例,特别是一些自建 IDC 的大型公司,花了几百万甚至几千万买了网络防护设备。
什么动态防火墙,F5 Web 应用防火墙,入侵防御、VPN、入侵检测系统(IDS)和入侵防御系统(IPS)等等。
结果和乌克兰的这个案例一样,密码设置的时候来了一个 abcd12345,这种非常常见的弱口令。
你有什么办法!
在黑客攻击中就有一种叫,社会工程学。
大家不要被这个高大上的名字给骗了,社会工程学的本质就是用各种各样的手段去套路你,骗子拿到他想拿到的信息。
我之前写过这样的文章:
《女明星因自拍瞳孔倒影暴露住址惨遭跟踪,一张照片是怎么出卖你?》
里面就有一个案例,为了得到你的地址,他会说给我发一下你家狗子的照片吧,照片不清晰可以发原图吗?
通过这种方式拿到原图,根据原图就可以解析到你的家庭住址。
类似的套路有很多,对黑客攻击感兴趣的同学,也可以看看我早年和黑客斗争写过的2篇文章:
《互联网金融大战黑客》
《我和黑客斗争的 6 天!》
最后给大家推荐一些解决方案吧。
我个人主要使用2个工具,第一个是 KeePass ,这是一个本地的密码管理软件,适合那种不相信网络的人。
一个是谷歌浏览器自带的密码管理,登录不同平台的时候会自动填入,省去很多的时间。
同时谷歌浏览器也会自动检测你的密码是否被泄露过,个人觉得谷歌的安全性比一些平台要好很多。
另外还有一个密码管理器比较推荐 lastpass,是一个在线的密码管理器,可以当做谷歌插件来使用,也挺方便的。
这些推荐的工具,cxy521.com 都有介绍,感兴趣的话可以多去逛逛。