位置:编程技术网 > 游戏开发 > 正文 >

暗网出现史上最大账号密码数据库泄露,如何用技术防止账号遭殃?

2019年10月19日 00:15来源:未知手机版

万达收购传奇影业,切换不了输入法,dnf85版本红眼加点

资讯活动前沿社登录 综合报道4min read暗网出现史上最大账号密码数据库泄露,如何用技术防止账号遭殃?昵称比较好记2017/12/19摘要

把密码设置得复杂一点,就能保证账号安全了,是这样吗?

在暗网市场,人们可以买到任何非法物品,如毒品、武器、虚假文档,甚至是被盗的数据库。虽然>这次数据泄露严重吗?

研究人员认为,这是迄今为止「在暗网中发现的最大的数据库集合」。即使是新手黑客,也能通过购买数据库的账号密码信息,从而进行攻击。此前,在暗网中出现的最大的数据库是 Exploit.in 泄露的 5.93 亿账户和 Onliner Spambot 泄露的 7.11 亿账户。

这次数据库是于2017 年 12 月 5 日在暗网论坛上发现的,数据库中包含的明文登录凭证具体数值是 1400553869。4iQ 的 Julio Casal 解释道,这个数据库使查找密码的速度比以前更快,更容易。他举例一个例子,在搜索「admin」、「administrator」和「root」这些常用的默认用户名时,几秒之内就返回了 226631 个管理员用户的密码。据极客公园了解,有了这些默认的用户名和密码,黑客利用最基础的技术,就能发动攻击。

4iQ 给出了排行前 40 的最常用的密码排行表。从图片中我们可以看出,使用弱密码的人还有非常多,可见大家都没有从中吸取教训。「123456」仍然是最常用的密码。

该公司进一步指出,总共有 14%的暴露的登录证书从未公开过,也没有在任何论坛上解密过,但是现在这些证书可以以明文形式提供给任何人下载。研究人员还认为,这个数据库是 100% 解密的,并按照字母顺序进行排序,所以对用户造成了很大的威胁,因为有很多人在社交媒体和银行平台使用了相同的密码。

一位业内人士告诉极客公园,这次的数据库泄露事件,大致是各种库的集合,很多厂商均中招了。虽然只是一些老数据库,但这只是黑产中的冰山一角。

什么样的技术才能保证密码的安全?

有人说,把密码设置得复杂一点,就能保证账号安全了,是这样吗?

央视在今年 3 月份报道了一起离奇的诈骗案件,受害者的手机没有中毒,也没有收到恶意的电话和短信,银行里的钱便不翼而飞了。经过调查发现,这是一起「撞库」攻击,也就是说,违法分子利用其他地方获得的账号密码,去银行尝试登陆。随后,对用户的网银手机号进行破解,最终盗取了银行存款。因此,除了把密码设置得复杂一些,还要针对每个网站设立不同的密码。

但很多人纷纷表示,他们记不住过于复杂的密码。那么,我们应该通过什么样的技术手段,保证安全?

很多人第一时间想到了短信验证码,用户只需填写手机号码,点击「获取验证码」,输入验证码就能登录了。但这种技术实际上并不安全,根据猎豹安全实验室的云端监控数据显示,近 1 个月截获的「短信拦截」类样本变种数量超过 10 万,影响用户数达数百万之多。2016 年,中国海天集团有限公司创始人兼 CEO Seeker 曾在黑客大会展示了一种名为「LTE/4G 伪基站+GSM 中间人攻击」的技术,只需很低的成本,背上一个小背包,就能攻击附近的人。他后来向媒体表示,最坏的情况是,黑客能以每秒 20 个手机用户的速度血洗银行账户。

图 / 破解短信验证的测试环境(来自黑客 KCon 大会)

随着科技的发展,很多人认为生物识别技术会解决这个问题。通过指纹识别、人脸识别来验证登录。但生物识别技术也带来了一定的弊端,2009 年,印度政府启动一个生物识别数据库的新身份项目,该项目名为 Aadhaar,收集超过 10 亿人口的姓名、地址、手机号以及可能更为重要的指纹、相片和虹膜扫描,印度人生活的方方面面都需要这个项目。但随之而来的是数据泄露事件,据外媒报道,印度执法部门 RTI 于近期发现超过 210 家政府网站在线曝光了 Aadhaar 的详细信息。虽然数据泄露的严重程度没有公布,但这一定会带来严重的后果。生物识别技术和密码不同,密码可以更换,而指纹等生物特征则无法更换。

本文地址:http://www.reviewcode.cn/youxikaifa/83867.html 转载请注明出处!

今日热点资讯