日前,知名職業社交網站LinkedIn已經證實了其網站用戶密碼被洩露,雖然還未確定遭洩露的用戶數是否如之前媒體報道的650萬之眾,但是用戶密碼洩露的事實卻是板上釘釘。Websense安全試驗室已經通過官方博客在第一時間提醒LinkedIn用戶立刻更換密碼,以避免賬戶被惡意份子濫用。不過就密碼安全問題,作為一名安全工作人員,筆者還是要老生常談一下。
密碼是什麼,是我們進入賬戶、郵箱,甚至是在銀行取款時的憑證。如果惡意份子獲得了我們習慣使用的密碼,只要他用心收集更多的信息,他就有可能為我們生活造成難以想象的損失。雖然此次LinkedIn密碼洩露事件中黑客獲得的密碼文件時散列存儲的,但是從技術角度而言,破譯這些密碼並非難事,所以再次提醒使用LinkedIn的朋友們要立刻更新密碼哦。
要知道一旦黑客破解了密碼,他就能輕松地以你的身份操作你的LinkedIn賬戶,這樣的情況會引發三個嚴重的後果:第一,也是最讓人憂心的一點,黑客會利用你建立的信用網絡,試想一下你的好友、工作伙伴或者崇拜者會信任並點擊黑客假以你的身份發去的任何鏈接,這樣黑客就能輕易的發起針對他們的攻擊和數據竊取。第二,因為大多LinkedIn用戶都綁定了Facebook 和 Twitter等其他的社交網絡服務,如果他利用你的賬戶發布不恰當的內容或者釣魚內容,不僅可能危害你的聯系,也可能對你的名譽造成損害。第三,因為很多人習慣於使用同樣的密碼登陸不同的服務和賬戶,黑客只要順籐摸瓜,就有可能推測出你在其他網絡的賬戶、郵箱密碼,甚至是銀行密碼。所以,一次密碼洩露的危害絕不僅僅局限於當前賬戶,甚至可能危及電子郵件、社交網絡、銀行賬戶和移動數據,等等。
密碼洩露不可小觑,小心防范才能防微杜漸,作為Websense安全實驗室的一名資深安全調查人員,我建議你采取以下措施保護你的密碼:
?定期更換密碼。
?確保你的密碼在內容和長度上都具有一定的復雜度;混合數字和字母的密碼是比較明智的選擇,使用大小寫字母與標點符號混合也可以。總的來說,密碼長一些為好。
?密碼通用最不可取,注冊不同的網站和服務時要使用不同的密碼。
?如果你所訪問網站可以提供基於HTTPS協議(比HTTP安全)的訪問,請使用這個。
近年來,各種數據洩露事件屢見不鮮,極大地凸顯出了數據洩露防護對於個人和企業的重要性。如果不能提升數據安全防護的意識,並積極地付諸於行動,我想企業和個人都將疲於應對各種後果。密碼保護是防止進一步被惡意攻擊或者數據洩露的大門之一,在此希望都盡快進行一次密碼更換,並盡量使用不同的密碼結構,這樣才能不把打開安全大門的鑰匙無意識地交付給潛在的惡意份子。