为了网络安全 人人都应学会密码管理

2019年12月04日科技
【新唐人北京时间2019年12月04日讯】互联网技术把全世界的人在虚拟世界里连接起来,让地球的每一个角落都不再孤单。现代社会的我们在享受着网络带来的极大便利的同时,却也把至关重要的个人资讯拱手交出,别有用心的黑客可以随意窥探我们的隐私,甚至用来犯罪。因此种种新问题在这个网络时代便应运而生——我们如何才能保护自己、安全上网?
你的密码被盗了吗? 或许在回答这个问题之前,大家首先应该登陆这个网站——HaveIBeenPwned。在首页上输入你最常用的电子邮箱帐户,然后点击右侧按键(pwned?),很快结果就会显示在屏幕上——幸运的话,这个帐户从未被“黑”(hacked)过;不幸的话,就会看到你的帐户资讯在多少次网络入侵中被黑客获取,以及被公布在了多少处的网站上。
但无论如何值得庆幸的是,现在一般的网络使用者有了这样一个网站可以使用,可以便捷地查询自己的帐户密码是否面临被盗风险,而在此之前一般人根本没有机会获知这样的查询工具。很多网络犯罪就是这样发生的——某人某天早上醒来,突然发现手机短信提示“Sim卡服务已被转移”,随即社交媒体密码全被改掉,银行卡也被盗刷了几千元钱……
黑客们的攻击手段
为了网络安全 人人都应学会密码管理
道德黑客又名“白帽”(White Hat)或是“渗透测试工程师”(Penetration Tester)。主要工作是找出企业的电脑系统和网络安全的问题,以及掌握黑客(又称:骇客)攻击互联网的各种手段和技巧,并有效防堵其进攻,以维护和加强企业的资讯安全。( ODD ANDERSEN/AFP via Getty Images)
HaveIBeenPwned网站的创始人特洛伊‧亨特(Troy Hunt)已成为备受业界追捧之人,他目前正在全球进行关于网络安全话题的巡回演讲。他的网站推出之后,广受专业和非专业人士的普遍好评,不仅让普罗大众认识到了密码安全的重要性,更让人们了解了黑客的手段“证书填充”(credential stuffing)——掌握一套帐户密码后向多个网站“广撒网”尝试非法登陆的一种行为。把所有的登陆密码都设成同一个的网络使用者往往会轻易“中枪”,令黑客得逞。2019年是此类事件“暴涨”的一年。
亨特的演讲中还提及一个越来越引发关注的领域:物联网(internet of things)安全问题。他提到,随着越来越多的服务供应商试图进入物联网,他们从一开始就忽略了至关重要的安全问题,而且即使发现问题也不知如何解决。因为物联网本质上也是互联网,所以后者出现的问题同样会“传染”给前者。举个例子:黑客可以轻而易举地入侵小女孩手上佩戴的智慧手表,掌握她一天之中的全部行程,而厂家对此完全无能为力。
另外一个2019年依旧被重点聚焦的领域是网络公司巨头侵犯使用者隐私权的问题。亨特说,大公司们的藉口从来都是为了“反恐”,但人们只想保护自己的个人隐私。不过这些公司已经垄断了市场——删除脸书app就意味着与朋友圈隔离,而谷歌搜索引擎也没有更好的替代品,目前正是处于这种尴尬局面。
哪些网站被“黑”了?
为了网络安全 人人都应学会密码管理
商业社交网站LinkedIn证实,部分用户的密码被盗窃和泄漏到互联网。(Justin Sullivan/Getty Images)
什么样的网站最易于沦为黑客袭击的目标?看上去似乎没有规律。
HaveIBeenPwned网站上显示,曾经世界第一的社交网站MySpace、中国大陆主要门户网站网易和世界最大职业网站领英(LinkedIn),曾沦为黑客攻击的重点对象,分别有超过3亿、2亿和1亿条使用者资讯被盗。一些规模略小的网站如票务网Ticketfly、化妆品牌丝芙兰(Sephora)网站也遭到了黑客的入侵,每次约有数十万条使用者资讯被盗。
黑客们有时还会把所窃取的使用者资讯发布出来,让任何人都有可能看到。比如2019年1月就发生了一起规模惊人的资料泄漏事件:约10亿个邮箱帐户和密码被公开发布在一处黑客论坛上,号称是历史上规模最大的一次泄密。即使如此,绝大多数被盗用户时至今日恐怕仍不知情。
如何保护密码安全? 亨特首先建议人们使用“二次验证”(two factor authentication),即登录时除了帐号密码还需经过一次额外的验证环节,如手机扫描二维码、短信接收验证码等等。迄今为止可能只有2%的网络人口在使用二次验证,普及率非常之低,但对防止黑客来说十分奏效,这下他们无法轻易获得登陆授权了。
第二个方法是什么呢?只能是把密码设得再长一些、复杂一些了。亨特说,经过无数次试验后他发现,最安全的密码是我们无法记住的密码。所以他建议人们不妨回归最原始的纸笔,给每一个帐号设一个不同的密码,再把每一个密码规规矩矩地记录下来。
此外,亨特还宣布了一个好消息:火狐流览器即将推出HaveIBeenPwned网站外挂程式,让用户一眼看到所流览的网站是否曾经被黑客“光临”过,以及获知一些其它有用的预防资讯,目前该技术正处于测试阶段。另一个未来可能很有用的网站是1Password,亨特指自己过去7年中每天都在使用他们的服务,效果非常好。
HaveIBeenPwned网站目前正和1Password合作,面向一般网络使用者推出密码分析和保护服务。使用者可以及时查看自己全部帐户的安全度,并接获必要的警告服务。
最后,看完这篇文章,您不妨也检查一下自己的各种帐号密码是否已经被盗?是不是所有的密码都设成了同一个?还是太久没改密码了?希望及时的检查能够帮您杜绝未来可能发生的损失。
──转自《大纪元》
(责任编辑:叶萍)