APP下载

提升安全意识 保护密码安全

2014-04-29ASL

电脑迷 2014年6期
关键词:工程学配置文件邮件

ASL

1 密码泄露的影响

可能有人觉得自己又不是名人,又没什么钱,密码泄露没什么危害,但总有你想不到的信息会因此暴露,并产生一系列麻烦。

密码泄露产生的影响有以下几个方面。

账号曝光只是最直接、最浅层次的损害,如果是论坛、SNS账号,可能导致身份被假冒用于发布虚假文章;如果是游戏网站,则游戏装备可能被盗取。而邮箱账号被公开,对某些网络营销者、病毒集团来说,无异于天上掉馅饼,对被泄露者来说,则意味着将收到更多的垃圾邮件、广告邮件,甚至是木马钓鱼邮件。

众所周知,同一厂商的邮箱一般与多个网络服务账号相通,比如新浪邮箱与新浪微博、新浪博客,Gmail与谷歌文档、Google+等,账号和密码都是相同的,如果邮箱和密码被公开,网民的私信、照片、社交网络也随之被曝光,各种“门”可能会不邀而至。

还有不少网民用一个邮箱注册了多家网络服务,甚至通用一个密码,比如用网易邮箱注册团购、淘宝、支付宝等电子商务网站,或者用邮箱接收银行信用卡账单、个人理财、股票交易信息等。由于这些均与银行账户直接关联,账号曝光导致的危害性更高。

危害可能还会波及你的亲友。如果恶意攻击者盗用你的邮箱或者SNS账号,给你的亲朋好友发送假冒欺诈信息,比如临时借钱或者网购东西,他们由于对你的信任,极有可能上当受骗。

上述的影响大都涉及到基于账号盗取的隐私暴利。

黑客一般能按以下步骤进行利用:

1)从账号信息中找到关联的邮箱,破解邮箱的密码。

2)搜刮邮箱里面的重要信件和资料,如网游账号信息、公司资料、个人照片等。

3)通过社会工程学搜索,确认哪些邮箱与重要的人物、公司有关联,可以用来做商业犯罪或者发布病毒等。

4)没太大用处的邮箱可以用来广发垃圾邮件和病毒,也可以用来注册大量垃圾账号,广泛用于论坛刷帖等等。

5)黑客把所有密码编成字典,以后盗号可以更快了。

6)隐私信息都可以用于社会工程学攻击,用于制作钓鱼邮件。

以上步骤除了能榨取用户账户内的有限财富外,用户本身的隐私和数据也具有很大的利用价值。

2 密码设置安全原则

基本原则

首要第一条便是密码不要设定为带有生日、电话号码、QQ或邮箱等与个人信息有明显联系的数据,否则你的密码即使不能入选“年度最糟糕密码排行榜”,也会被犯罪分子轻易联想到;第二,尽量为不同网站设置不同密码;第三,妥善保存密码并定期修改。不要将密码信息保存在电脑、手机中,这些设备一旦丢失,里面的密码也将失守;第四,不要将密码信息轻易透露给他人,特别是通过即时通讯工具、邮箱等。

低关联性

有些人设置的密码确实复杂,但是有可能存在的一种情况就是使用同一个密码,这种情况不在少数,即使是有些是搞安全的也会存在这样的情况,这样存在一种风险,就是一旦有一个密码被盗了,其他所有的全部完了。有的密码虽然不一样,但是规律却很明显,这样也是跟用同一个密码区别不大。

注册邮箱

保护好自己的邮箱。很多时候注册都需要填写邮箱进行验证。如果在多个地方注册使用同一个邮箱,一旦我们的邮箱被破解,那么我们其他网站密码被破解的可能性就会变大。所以,这里的建议是注册多个邮箱,或者单个网站对单个邮箱,对于不常去的且不重要的,可以单独注册一个这样的邮箱。特别重要的,可以注册一个重要的邮箱,也可以根据自己的情况去申请几个邮箱,作为某一类或某一种情况的专用。

密码强度

将自己现有的网络账户进行分类整理,密码根据账户的重要程度去进行设置。可以分为三个等级:弱、中、强。

弱:一般表示非常容易记的,不用去背的。例如123456这样的密码。中:一般为字母+数字,其中有的密码是由名字和生日进行组合而成的,或者某些单词+数字,这种与上一种要复杂一些,位数要多一些。高:大小写字母+数字+特殊符号。比较复杂,不容易记忆。

当然除了字符以外,密码的长度也是其中的一个标准。安全的建议是8位以上复杂密码和中等密码,这样在破解的过程中耗费的时间要长很多。

你也可以通过微软官方的密码检查器来检查自己的密码强度(http://t.cn/8FN0fyj)。

3 密码的保护

设置复杂的密码只是为了防止被别人破解,但是获取密码的方式不止一种破解方式,如果想要做到安全,需要了解相关的安全知识。

获取密码的方式可以通过网络钓鱼、键盘记录方式、嗅探、暴力破解,社会工程学、读取内存实现。窃取文件(读取配置文件),密码的保护的话也是从这些方面入手防御。

对于钓鱼和键盘记录,我们要提高警惕,不要随意打开一些网址(要注意看好网址)以及别人发来的文件等(除了exe外,还要小心doc、xls、pdf这类常用文件),需要确认后打开查看。

嗅探的话,做好arp方面的防御;暴力破解,就是加强自己的密码强度,设置复杂的密码。

社会工程学,不要轻易告诉别人你的密码,并且说要密码的邮件或者网站,都不要相信,别人说因为某某原因需要提供密码的时候也不要给。

对于配置文件方面,要加强程序的安全、服务器的安全性,防止配置文件被别人查看。做好文件系统的权限设置。

希望使更多人了解,使用较弱的密码会带来什么样的风险,希望有更多人可以采取简单的措施来保护自己,包括使用更强的密码,以及在不同网站使用不同密码。

虽说没有人期望你是一个安全专家,但希望你能保持警惕。

猜你喜欢

工程学配置文件邮件
《水利水运工程学报》征稿简则
提示用户配置文件错误 这样解决
基于James的院内邮件管理系统的实现
来自朋友的邮件
互不干涉混用Chromium Edge
《照明工程学报》征稿简则
CMailServer
忘记ESXi主机root密码怎么办
一封邮件引发的梅赛德斯反弹
论人体工程学对产品设计的影响