无惧网站泄密账号保全我有招
2012-04-29痛并快乐着
痛并快乐着
杀毒软件继续免费,各厂商隔三岔五来一场口水战……,我原以为咱们互联网安全行业的2011年就这样安安稳稳地过去了。可眼看今年就要翻篇儿了,一场轰轰烈烈的改密码行动又席卷而来,就连我这样的资深大牛都坐不住了(呃,小编先别拍砖)。先是开发者社区CSDN数据库被黑客攻陷,600多万用户明文信息泄露。随后,又有多个网站被“脱裤”。看来,咱得找一个保全账号的好法子。
杯具了,CSDN的密码是明文
CSDN是国内最大的开发者社区,很多IT大牛都喜欢在此进行技术交流。可尼玛这网站的安全性也做得太差了,居然被“脱裤”,导致用户信息全部被曝光在网上。更让人大跌眼镜的是,这货的密码竟然是用明文存储,三岁小孩儿都能看懂。您忒不专业啊,老兄(如图1)!
稍微有点安全常识的人都知道,在数据库中存放密码都应该进行加密。例如,密码明文是123456,但是经过数据库加密后就可能变成asdfgh这种形式。如此一来,即便是数据库管理员,也不可能一眼看出用户密码明文。目前来说,比较常见的是用MD5算法进行加密。
MD5加密就一定靠谱?
MD5算法会将密码明文通过不可逆的字符串变换,加密成一个唯一的MD5信息摘要。如今,MD5算法主要分成16位和32位两种。使用两种方式对同一个密码进行加密后,16位的字符串显示的只是32位字符串的一部分,即去除了前八位和后八位剩下的那部分。
那通过MD5算法加密后,就绝对安全了吗?其实不然,黑客仍可通过“碰撞”方式进行破解。比如,通过MD5算法,我们可将“admin”加密成21232f297a57a5a7 43894a0e4a801fc3,可有人将把这些对应关系收集到了另一个“碰撞”数据库中,即“MD5对比数据库”。
当这个数据库中有几十亿条记录的时候,有心人士完全可以通过这个数据库进行“碰撞”,破解MD5字符串对应的密码明文(如图2)。通常,简单的密码明文都能被破解出来。虽然经过MD5算法加密的信息,同样也存在被破解的可能,但我认为密码不加密,这就是网站的态度问题了。
查一查,你的密码被泄了吗?
说到这,可能很多读者朋友便要开始骂娘了,不过笔者还是建议大家要淡定。当务之急,应该是先去看看自己的账号是否也已经中枪了。
我们进入到金山提供的“密码泄露快速查询”网页(地址:http://cs-test.ijinshan. com/security),在“用户名”输入框中输入自己常用的账号或者邮件地址。输入验证码后,再点击“查询”就可以对自己的账号进行检测。
倘若不幸,检测结果显示“您的密码可能被泄漏,请尽快修改密码确保安全”(如图3),那说明你的账号躺着也中枪了,赶紧加入改密码大军吧!
强壮的密码是怎样炼成的?
既然要修改密码,就要选择一个强度大的密码,可能新手们就要问了,怎样的密码才是强度大的密码呢?其实,有个小工具可以帮忙。
首先打开最新版的《360安全卫士》,依次点击“功能大全”→“新功能推荐”→“密码安全鉴定器”。在弹出的窗口输入待检测的密码,点击“检测”即可查看密码强度(如图4)。在此,笔者推荐大家使用80分以上的高强度密码。
如果实在是想不出高强度的密码(人工设置的密码,黑客往往可借助社会工程学原理破解),我们还可以使用SingK Password Producer(下载地址:http://www.skycn.com/ soft/8592.html)这样的专业软件进行生成。这货最擅长随机生成一些安全的密码。
启动程序后,我们选择“常规”。接着,勾选“批量输出输入KEY到文件”和“滤掉重复的密码(速度慢)”,再点击“输出文件”选项后的按钮,设置保存密码口令的TXT文件名。
随后,我们需要在“密码组成/复杂程度”选项中设置口令密码组成的内容信息。还可以在“自选字符”输入框中,添加一些其他特殊字符,并设置好“密码长度”和“生成数量”的数值(如图5)。
设置完成后,点击“开始”就能生成密码了。密码明文会保存在之前设定的TXT文件中(如图6),也会出现在“您可以从下面已生成的密码中选择”列表中。从列表中选择了某个密码后,程序会自动将其复制到剪贴板。
记密码,这样也行!
有了强壮的密码后,如何存放又成了问题,毕竟这些密码非常难记。坚决不做CSDN第二的我决定使用KeePass来管理密码。
从官网(地址:http://keepass.info)下载到软件安装包和简体中文语言包后,先安装KeePass主程序,然后将简体中文语言包解压到安装目录中。启动KeePass后,我们先依次单击“View”→“change language”→“simplified Chinese”,将软件界面捣鼓成简体中文。
点击“新建”创建一个存放账户的数据库,进入数据库配置窗口后,可以进行详细设置,普通用户使用默认设置就OK啦!KeePass窗口左侧是密码分类,右侧为对应分类的账户列表(如图7)。在左侧选择好分类后,我们再在窗口右侧点击鼠标右键,选择“添加记录”即可添加账户信息。具体的账户内容可包括标题、用户名和密码等。
设置完成后,就可以在窗口列表里面看到刚刚创建的账户信息。当我们需要使用某个密码的时候,可以按住鼠标左键,从该窗口中直接将密码拖动到对应的输入框,完全不用手动输入。或者直接在某个密码上双击鼠标左键,这样密码信息就会自动复制到粘贴板,这样也可以帮助用户快速的进行输入设置(如图8)。
小编提示
理论上,任何密码都有被破译的可能,没有绝对的安全。注册账户时,最好不要使用生日和姓名等有迹可循的密码,密码中应该尽量包含多种元素(字母、符号和数字)。小编建议大家为不同的账户设置不同的密码,嫌麻烦的“童鞋”,则可根据账号重要性,设置几组不同的密码。