快快改密码!14亿账号密码数据库泄露

点击下方“关键字”,查看更多精彩内容

现在无论是网购还是微信登录都需要注册账户名和设置密码,而相应我们的一些个人资料、手机号甚至是银行卡账户都需要与账户进行绑定,一但这些账户信息被暴露,带来的后果将不可想象。

而最近,360国家安全响应中心检测到国外reddit论坛上公开了一份长期在暗网中心交易的数据文件,经技术人员分析,这些数据竟是一份包含14亿用户的用户名和密码,据统计这可能是迄今为止数据泄露规模最大的一次。

技术人员还表示,此次被泄露的用户密码中使用“弱智密码”的较多,什么是“弱智密码”呢?比如包括像123456、password、admin等一些简单的数字、字母密码或者一些用户明注册时的默认密码。

这些特别容易记的密码往往都非常容易被黑客攻破,有类似密码的伙伴们还是赶紧更换复杂些的密码吧,以免造成不必要的损失。

昨天晚上爆出一则大新闻,暗网监测公司 4iQ 在暗网上发现了包含14亿个账号邮箱的数据包,而这也成为了迄今为止最大的数据库泄漏事件,全世界近1/5的人可能会受到影响。不过或许不少人看到这则新闻时都和小编一样无动于衷,毕竟密码泄露问题已经司空见惯,所以今天我们不如换个角度,来聊聊“账号密码”该不该走进历史的垃圾桶。

暗网是什么,为何会有密码数据库呢?

我们就从这次暗网上出现的数据库说起吧!该数据库是12月5日在暗网上发现的,4iQ 公司表示该数据库不仅包含14亿个账号密码信息,而且查找机制十分完善,小白用户都能在几秒钟内搜索到自己想要的账号密码,比如搜索 admin 账号时,马上就检索到了226631个密码。虽然业内人士表示这个库可能仅仅是过去泄露数据的一个合集,但是因为范围广、门槛低,或许会成为网络犯罪的工具。并且4iQ 公司还表示,这个数据库中有14%的登陆证书是从未公开过的,也就是最近被盗的数据。

或许这里还需要为大家插播一下暗网的科普,暗网也叫做“DeepWeb”,这个名字也是将暗网类比为“互联网冰山”水下隐藏的部分,这一部分无法被普通用户看到,搜索引擎也无法获知内部的信息,只能通过加密的隐身软件才能进入。暗网来自于一个叫做 Tor 的开源项目,通过三位科学家发明的“隐藏路由信息”的功能实现,用户可以接入互联网但是却不用向任何服务器和路由器提交设备信息,所以就成了一个避开监管、完全隐藏在黑暗下的上网方式。

据说暗网的内容占据了全网的96%,而我们平时所能看到的互联网,仅仅是全网4%的信息罢了。虽然96%的内容中绝大多数是垃圾内容,但是因为匿名特性,暗网成为了世界性的违法交易平台,人们在暗网上通过比特币等加密货币进行交易。比起毒品、军火、人口贩卖等交易,黑客卖一些数据信息反而显得很“纯良”了。

黑客有一万种方法获得你的账号密码,防不胜防

而前面被证实的14亿账户信息,也不过是暗网上数据库买卖的冰山一角罢了。如果有人真的想要破解你的账户,基本上是毫无难度可言的,并且只要一个用户在一家网站上的账户、密码信息被盗了,他几乎所有的账号都会受到威胁,因为“撞库”实在是太方便了。现在大家可能都习惯在不同的账户上都使用类似甚至是相同的密码,“撞库”指的是将网络上已经获得的账号密码去其他网站、银行等机构尝试登陆,成功率非常高。

其实现在很多机构已经知道账号密码的认证体系不可靠了,所以他们推出了手机验证码的验证方式,但是犯罪分子用“短信拦截”还有“伪基站”等方法都能够轻易破解这种认证体系,虽然效率比较低,但是长时间攻击的覆盖范围还是很广泛,并且因为这样的攻击方式伪装性强、即使是互联网的老手都很容易中招,所以反而比账号密码泄露的后果更加严重。

为了把账号密码模式发挥到极致,1Password 等密码管理软件出现了,我们可以用极其复杂、完全不同的密码和账号,而不用担心自己记不住,这下总不会怕被撞库了吧?但压死骆驼的最后一根稻草已经不远了,当量子计算普及的之日,就是账号密码认证体系被完全淘汰之时。

量子计算是压死密码体系的最后一根稻草

大家应该都知道,破解密码有一种最直接的方式——穷举法暴力破解,也就是通过无数次尝试来获取正确密码。但是这样的方式对计算机来说工作量实在太大,举个例子,如果要破解一个 RSA 密码系统(现阶段最强大的密匙加密方式之一),即使是超级计算机都需要60万年。就算是一个普通的10位密码系统,要用一台高性能服务器暴力破解也需要数十年时间,所以很少有黑客会用穷举法,但是当未来我们拥有量子计算机之后,暴力破解将会变成一件无比简单的事情。

小编建议:每个人都需要三个不同的密码进行不定期的更改,这样可以有效的防止密码泄露造成的不必要损失!也可最大幅度的防范犯罪份子利用“简易密码”进行破解!

本文来自企鹅号 - 優惠泉城媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

法律禁止默认密码 “admin”,“无意入侵”没那么容易了

据 techcrunch 报导,前几日,加州通过了一项法律,2020 年之后禁止在所有新的消费电子产品中使用 “admin”、“123456” 和经典的 “pa...

1311
来自专栏腾讯云数据库(TencentDB)

A站被黑,你的数据库安全吗?

小编通过自身的数据库多年的从业经验,针对利用云计算的基础实施如何做好数据库防护做个浅显的分享。

10.3K171
来自专栏FreeBuf

关于弱密码摄像头被入侵实验

前不久,央视曝光大量摄像头存在弱密码被黑客入侵后,信息叫卖的情况,为了学习研究弱密码摄像头的危害性,我们打算对此进行复现。 证实可行 首先,根据网上的资料,我们...

4356
来自专栏FreeBuf

CIA泄露文档第二弹“Dark Matter”:刚出厂的iPhone就感染恶意程序

维基解密发布第二波Vault 7泄露文件,名为“暗物质(Dark Matter)”。这次泄露的文档主要是相关CIA入侵苹果Mac和iOS设备的技术与工具的。这些...

1955
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(185)-FI-157应收账款

FI157应收账款 该业务情景处理应收帐款中客户的过帐会计数据。客户在此处对数据进行排序,使数据对其他区域(如销售和分销系统)可用。当您过帐应收帐款中的数据时,...

3229
来自专栏FreeBuf

Trustwave:中国制GSM语音网关存在Root权限后门

近日,网络安全公司Trustwave发布了一份报告,称在一家名为DBL Technology(得伯乐科技)的中国公司生产的GoIP GSM语音网关中发现了一个隐...

2408
来自专栏网络安全防护

多家P2P网贷平台因DDOS攻击而倒闭,P2P平台该怎么应对?

最近这几年,国内P2P网贷平台大规模进入市场,在高速发展的同时,倒闭跑路、投资者信息安全等一系列问题层出不穷。一大波黑客也盯上了P2P平台这一块“肥肉”,黑客通...

2450
来自专栏郭耀华‘s Blog

易客——无线点餐系统

易客——无限点餐系统 ? 项目地址 https://github.com/guoyaohua/yike 宣传视频 http://v.youku.com/v_sh...

5035
来自专栏FreeBuf

揭秘盗取“羊毛党”比特币的钓鱼攻击事件 | 一例C2服务器跟踪分析报告

1 概述 行文之前先界定两个概念。 羊毛党,指关注与热衷于“薅羊毛”的群体,是指那些专门选择企业的营销活动、广告投放等,以低成本甚至零成本来换取高额奖励的人。早...

5487
来自专栏子勰随笔

关于终端设备的设备唯一性的那些事之IMEI

1.3K4

扫码关注云+社区

领取腾讯云代金券