按照慣例,網站應使用不可逆算法對用戶密碼進行處理,加密存儲在網站數據庫中,其作用僅限於當用戶登錄賬號時驗證密碼是否輸入正確。這樣即便有人查看網站數據庫中的用戶密碼,看到的也是處理後的字符串,而不是明文密碼。
專家分析,網站數據庫洩密有兩種情況,第一種是被黑客攻擊入侵,在國內外各種網站的用戶注册協議中,通常會把這種因素寫在免責條款中,只是很少有用戶在注册網絡服務時會關注這份協議;第二種是網站管理者有意洩露甚至出賣用戶數據,這種情況應擔負刑事責任。中國著名黑客、中國CAD/CAM協會會員徐小榕日前在做客開心訪談時稱,攻擊者可能會整理出有價值的賬戶,如VIP賬戶,借機擾亂網站秩序,傳播虛假、欺詐信息,甚至直接進行網絡詐騙等等。也可能利用社會工程學反查用戶郵箱密碼,進一步竊取用戶隱私。
有安全領域人士猜測,目前洩密的資料可能只是一小部分,更多的數據或已被黑客轉手賣錢。該人士透露,這些數據在黑客圈中所謂的“黑市”裡銷售,一個打包“產品”甚至可以叫價上百萬元。
“一號通”:用戶喜歡但最不安全
信息安全專家、安天實驗室技術發言人苗得雨認為,中國國內最主要的安全問題是大家的安全意識較差。大量用戶數據被公開後,據統計結果顯示,有239萬人的密碼和別人存在重複。在所有密碼中,最簡單好記的“123456789”使用率最高,有23.5萬人在使用;其次為“12345678”有21萬多人使用;“11111111”有7萬多人使用。
由於很多網民為各種網站設置了相同的賬號密碼,只要其中一個失竊,黑客就等於得到了一把萬能鑰匙。而據透露,國內一些黑客已開始利用從論壇上竊得的資料,在第三方支付平台發起“一元訂單”交易,從而試探出哪些賬號密碼恰好能進入受害者的支付賬戶,之後就會將其中的餘額盜取。
針對當前情況,多家安全廠商推出緊急應對服務。金山網絡緊急推出了密碼是否洩露的快速查詢服務。同時,金山毒霸“百寶箱”中新增了鑒定用戶密碼安全性的功能“密碼專家”。金山網絡安全專家李鐵軍表示,不少網民在眾多網站中均使用相同的賬號和密碼,一旦一家網站用戶數據被暴露,網民的郵箱、社交網站、微博等個人私密性很強的信息極易被洩露,因此建議網民盡快修改為安全性更高的上網密碼,同時應有意識地對密碼進行分級管理,常用郵箱、聊天軟件、網上支付等重要賬號分別單獨設置密碼,並定期更換。(時間:12月28日 來源:北京青年報) |
