為了網絡安全 人人都應學會密碼管理

Facebook

【新唐人北京時間2019年12月04日訊】互聯網技術把全世界的人在虛擬世界裡連接起來,讓地球的每一個角落都不再孤單。現代社會的我們在享受著網絡帶來的極大便利的同時,卻也把至關重要的個人資訊拱手交出,別有用心的黑客可以隨意窺探我們的隱私,甚至用來犯罪。因此種種新問題在這個網絡時代便應運而生——我們如何才能保護自己、安全上網?

你的密碼被盜了嗎?



或許在回答這個問題之前,大家首先應該登陸這個網站——HaveIBeenPwned。在首頁上輸入你最常用的電子郵箱帳戶,然後點擊右側按鍵(pwned?),很快結果就會顯示在屏幕上——幸運的話,這個帳戶從未被「黑」(hacked)過;不幸的話,就會看到你的帳戶資訊在多少次網絡入侵中被黑客獲取,以及被公布在了多少處的網站上。

但無論如何值得慶幸的是,現在一般的網絡使用者有了這樣一個網站可以使用,可以便捷地查詢自己的帳戶密碼是否面臨被盜風險,而在此之前一般人根本沒有機會獲知這樣的查詢工具。很多網絡犯罪就是這樣發生的——某人某天早上醒來,突然發現手機短信提示「Sim卡服務已被轉移」,隨即社交媒體密碼全被改掉,銀行卡也被盜刷了幾千元錢……

黑客們的攻擊手段

道德黑客又名「白帽」(White Hat)或是「滲透測試工程師」(Penetration Tester)。主要工作是找出企業的電腦系統和網絡安全的問題,以及掌握黑客(又稱:駭客)攻擊互聯網的各種手段和技巧,並有效防堵其進攻,以維護和加強企業的資訊安全。( ODD ANDERSEN/AFP via Getty Images)

HaveIBeenPwned網站的創始人特洛伊‧亨特(Troy Hunt)已成為備受業界追捧之人,他目前正在全球進行關於網絡安全話題的巡迴演講。他的網站推出之後,廣受專業和非專業人士的普遍好評,不僅讓普羅大眾認識到了密碼安全的重要性,更讓人們了解了黑客的手段「證書填充」(credential stuffing)——掌握一套帳戶密碼後向多個網站「廣撒網」嘗試非法登陸的一種行為。把所有的登陸密碼都設成同一個的網絡使用者往往會輕易「中槍」,令黑客得逞。2019年是此類事件「暴漲」的一年。

亨特的演講中還提及一個越來越引發關注的領域:物聯網(internet of things)安全問題。他提到,隨著越來越多的服務供應商試圖進入物聯網,他們從一開始就忽略了至關重要的安全問題,而且即使發現問題也不知如何解決。因為物聯網本質上也是互聯網,所以後者出現的問題同樣會「傳染」給前者。舉個例子:黑客可以輕而易舉地入侵小女孩手上佩戴的智慧手錶,掌握她一天之中的全部行程,而廠家對此完全無能為力。

另外一個2019年依舊被重點聚焦的領域是網絡公司巨頭侵犯使用者隱私權的問題。亨特說,大公司們的藉口從來都是為了「反恐」,但人們只想保護自己的個人隱私。不過這些公司已經壟斷了市場——刪除臉書app就意味著與朋友圈隔離,而谷歌搜索引擎也沒有更好的替代品,目前正是處於這種尷尬局面。

哪些網站被「黑」了?

商業社交網站LinkedIn證實,部分用戶的密碼被盜竊和洩漏到互聯網。(Justin Sullivan/Getty Images)

什麼樣的網站最易於淪為黑客襲擊的目標?看上去似乎沒有規律。

HaveIBeenPwned網站上顯示,曾經世界第一的社交網站MySpace、中國大陸主要門戶網站網易和世界最大職業網站領英(LinkedIn),曾淪為黑客攻擊的重點對象,分別有超過3億、2億和1億條使用者資訊被盜。一些規模略小的網站如票務網Ticketfly、化妝品牌絲芙蘭(Sephora)網站也遭到了黑客的入侵,每次約有數十萬條使用者資訊被盜。

黑客們有時還會把所竊取的使用者資訊發布出來,讓任何人都有可能看到。比如2019年1月就發生了一起規模驚人的資料洩漏事件:約10億個郵箱帳戶和密碼被公開發布在一處黑客論壇上,號稱是歷史上規模最大的一次洩密。即使如此,絕大多數被盜用戶時至今日恐怕仍不知情。

如何保護密碼安全?



亨特首先建議人們使用「二次驗證」(two factor authentication),即登錄時除了帳號密碼還需經過一次額外的驗證環節,如手機掃描二維碼、短信接收驗證碼等等。迄今為止可能只有2%的網絡人口在使用二次驗證,普及率非常之低,但對防止黑客來說十分奏效,這下他們無法輕易獲得登陸授權了。

第二個方法是什麼呢?只能是把密碼設得再長一些、複雜一些了。亨特說,經過無數次試驗後他發現,最安全的密碼是我們無法記住的密碼。所以他建議人們不妨回歸最原始的紙筆,給每一個帳號設一個不同的密碼,再把每一個密碼規規矩矩地記錄下來。

此外,亨特還宣布了一個好消息:火狐流覽器即將推出HaveIBeenPwned網站外掛程式,讓用戶一眼看到所流覽的網站是否曾經被黑客「光臨」過,以及獲知一些其它有用的預防資訊,目前該技術正處於測試階段。另一個未來可能很有用的網站是1Password,亨特指自己過去7年中每天都在使用他們的服務,效果非常好。

HaveIBeenPwned網站目前正和1Password合作,面向一般網絡使用者推出密碼分析和保護服務。使用者可以及時查看自己全部帳戶的安全度,並接獲必要的警告服務。

最後,看完這篇文章,您不妨也檢查一下自己的各種帳號密碼是否已經被盜?是不是所有的密碼都設成了同一個?還是太久沒改密碼了?希望及時的檢查能夠幫您杜絕未來可能發生的損失。

──轉自《大紀元》

(責任編輯:葉萍)

相關文章