隨著電腦及信息化的普及,讓我們在日常生活中越來越依賴於網絡,如通過網上銀行直接轉帳交易、股票的交易等等,這使網上個人身份的重要憑證———密碼的安全就顯得尤為重要,但密碼頻頻被盜常常給網民造成不小損失。
通過電視報道可其它新聞媒體的報道,大家都會經常聽到某月某日,某個黑客因傳播或制造病毒竊取他人錢財,被判刑; 某市某市民用於網上購物支付的銀行卡內余額不翼而飛;有人發現自己賬戶中的存款被人轉移到陌生賬號上,被盜金額從幾百元到1萬元不等……至於網絡游戲賬號密碼被盜案例更是數不勝數,屢屢見諸於報道。
據網上調查顯示:6.5%的用戶有過密碼被盜的經歷,52.3%的用戶沒有對自己的密碼采取任何保護措施,3%網民表示采取過密碼保護措施但仍然被盜……
綜上所述,讓我們看到了網絡既給我們帶了方便,也給心懷不軌之徒帶來了可趁之機,現在讓我們一起來搜索及探討保護密碼有哪些竅門,讓更多的網民不會再無辜受害。
1、設置較零亂、無規則的密碼 由於現在黑客技術的先進,黑客通過暴力破解即可輕松地獲取到密碼。如果黑客事先知道了賬戶號碼,如網上銀行賬號,而恰巧你的密碼又十分簡單,比如用簡單的數字組合,黑客使用暴力破解工具很快就可以破釋出密碼來。比較典型的案例是QQ密碼破解工具。黑客通過對QQ本地密碼驗證的加密算法進行破解,獲得QQ本地密碼驗證加密算法後,像“810519這樣的6位生日數字密碼或電話號碼,便可在1分鐘之內被破解出來。因此,為了保護自己的密碼,首先應確保所設的密碼零亂、無規則,其次盡量不要使用“記住密碼的功能。用戶應該把自己的賬戶號碼與密碼放在同等重要的位置進行保護,特別注意不要在公用的電腦上使用網上交易系統,不要在與好友通過QQ、MSN等即時聊天工具聊天時透露你的賬號密碼。
2、使用軟鍵盤進行輸入帳號密碼 在大部分用戶意識到簡單的密碼在黑客面前形同虛設後,人們開始把密碼設置的盡可能復雜一些,這就使得暴力破解工具開始無計可施。這時候,黑客開始在木馬病毒身上做文章,他們在木馬程序裡設計了鉤子程序,一旦用戶的電腦感染了這種特制的病毒,系統就被種下了“鉤子,黑客通過“鉤子程序監聽和記錄用戶的擊鍵動作,然後通過自身的郵件發送模塊把記錄下的密碼發送到黑客的指定郵箱。
您的計算機一旦中了盜號木馬,那麼黑客盜取您密碼和證件號碼就如囊中取物,因為您的所有操作都在他/她的監視之下。
對付擊鍵記錄,目前有一種比較普遍的方法就是通過軟鍵盤輸入。軟鍵盤也叫虛擬鍵盤,用戶在輸入密碼時,先打開軟鍵盤,然後用鼠標選擇相應的字母輸入,這樣就可以避免木馬記錄擊鍵,另外,為了更進一步保護密碼,用戶還可以打亂輸入密碼的順序,這樣就進一步增加了黑客破解密碼的難度。
3、“網絡釣魚等帶來更大威脅 軟鍵盤輸入使得使用擊鍵記錄技術的木馬失去了作用。這時候,黑客仍不甘心,又開始琢磨出通過屏幕快照的方法來破解軟鍵盤輸入。2004年出現的“證券大盜病毒,病毒作者已考慮到軟鍵盤輸入這種密碼保護技術,病毒在運行後,會通過屏幕快照將用戶的登陸界面連續保存為兩張黑白圖片,然後通過自帶的發信模塊發向指定的郵件接受者。黑客通過對照圖片中鼠標的點擊位置,就很有可能破譯出用戶的登陸賬號和密碼,從而突破軟鍵盤密碼保護技術,嚴重威脅股民網上證券交易安全。
除了通過木馬技術進行竊秘外,“網絡釣魚也是黑客進行網絡竊秘的主要手段。近年來,網絡上出現了各種花樣翻新的“網絡釣魚事件。2004年7月19日,一個惡意網站偽裝成聯想主頁,通過惡意腳本程序,利用多種IE漏洞種植木馬病毒,並散布“聯想集團和騰訊公司聯合贈送QQ幣的虛假消息,誘使更多用戶訪問該網站造成感染。該惡意網站的利用數字1和小寫字母l的相似性,令釣魚網站域名看起來竟然與聯想官方網站沒有任何差別!
面對“屏幕快照、“網絡釣魚這些更加猖獗的盜竊伎倆,網絡安全技術人員研發了各種的應對技術和措施,如比網上銀行普遍采用的數字證書技術,以及動態口令技術。此外,為更能確保密碼的安全,建議網友安裝終截者抗病毒軟件,並用其密碼鎖功能保護您的網絡交易程序,如股票基金、網上銀行、支付寶等網上交易程序,防止網絡個人財產不必要的損失。終截者抗病毒軟件不僅能有效預防感染最新病毒,還能有效地預防網站掛馬,讓用戶減少感染病毒的機率,讓用戶不再成為無辜。
作者:Jack
【賽迪網-IT技術報道】在上周四(3月27日)的“PWN 2 OWN”2008年全球黑客大賽上,黑客謝恩?麥考萊(Shane Macaulay)一舉攻破微軟Vista系統,並因此獲得5000美元獎金和一台作為獎品的筆記本。
本周一,麥考萊將其獎品筆記本在eBay上拍賣,起價為0.01美元,並模稜兩可的暗示這台機器可能仍含有可攻擊Vista的執行代碼。由於周一是歐美國家盛行的愚人節,有人懷疑麥考萊是在惡作劇。但麥考萊當天表示,這台富士通筆記本已歸他個人所有,他本人有權對其隨意處置。
當晚美國太平洋時間11點,eBay網站刪除了麥考萊上述拍賣信息,並稱他的這種做法不利於廣大計算機用戶安全。eBay一位發言人表示:“麥考萊的拍賣信息上故意添加了含有Vista攻擊代碼等字樣,這已經引起了網絡安全專家們的注意。”
“PWN 2 OWN”2008年全球黑客大賽於上周三進行,大賽舉辦方提供了三部運行不同操作系統的筆記本電腦,以供各參賽黑客小組實施攻擊,這些操作系統分別為微軟Vista、蘋果Mac OS X及Ubuntu Linux。周三當天,所有參賽小組都沒能成功攻破任何一台筆記本。
上周四大賽舉辦方改變了攻擊規則,當天以查理?米勒(CharlIE Miller)為主的參賽小組在不到2分鐘時間內攻破了蘋果MacBook Air超薄筆記本,並為此獲得了1萬美元獎金。周五是大賽的最後一天。當天參賽黑客謝恩?麥考萊(Shane Macaulay)一舉攻破了微軟Vista系統,所獲獎金為5000美元。到周五為止,只有運行Ubuntu系統的筆記本沒有被攻破。
業界人士稱,如果麥考萊上述拍賣行為不是開愚人節玩笑,他就有可能違反了PWN 2 OWN大賽的相應規則。此前大賽舉辦方規定,任何參賽人員發現相應漏洞後,不得對外公布他們所發現的產品漏洞和相應攻擊方式,以便相應廠商能及時修補漏洞。
(責任編輯:李磊)
當前垃圾郵件和伴隨而來的郵件欺詐問題愈演愈烈,此類安全風險的主要威脅在於用戶處理郵件安全問題的經驗不足,事實上針對此類威脅需要展開有針對性的防御手段加以防護。
威脅不能忽視
如果把過去的2007年定義為垃圾郵件年則一點都不過分。根據中國反垃圾郵件聯盟的統計,2007年全年的垃圾郵件數量較2006年增加了100%。而IDC的統計則表明,2007年全球垃圾郵件的數量每天超過1200億封,平均每個人每天收到20封垃圾郵件。其中,超過80%的垃圾郵件源自受感染的僵屍計算機。
更可怕的是,當前的垃圾郵件威脅是協作式的,有適應能力和智能性,能夠在企業或個人電腦上駐留幾個月、甚至幾年時間而不被發現。此前IronPort公司大中國區經理吳若松在接受本報獨家采訪時表示,進入2008年,此類新的威脅將變得針對性更強,壽命更短,也因此更難以發現。以往“能看到的東西不傷人,這樣的舊理論不再有效。
十個招數 在此環境下,企業用戶和個人需要了解這些幾乎不可見,但具有殺傷力的威脅並做好防護。從實際的經驗看,用戶如果希望能夠避免與垃圾郵件和其他網絡威脅相關的風險,至少要做到一下十點。
第一、采用身份盜竊保護。 多數身份盜竊保護提供個人信用報告,用戶可以從中查看自己的信用歷史並驗證其是否最新、最精確。多數服務允許用戶每天監控信用情況,並提醒任何可疑的活動,比如非法使用該用戶姓名開賬戶或查詢用戶的信用文件。身份盜竊保護還可以幫助用戶改正信用文件中的任何錯誤,在一定程度上提高用戶的防欺詐能力。
第二、不要使用主郵件地址。 在網上隨意使用主郵件地址讓垃圾郵件制造者有更多的機會把用戶加入他們的郵件列表中。使用臨時或不重要的賬號進行在線交易。
第三、使用臨時或一次性信用卡。 在可疑的情況下,使用臨時或一次性信用卡。多數大銀行都提供此類信用卡以避免信用卡被濫用。
第四、不要打開。 盡可能不要打開垃圾郵件。垃圾郵件經常包含特定軟件程序,讓垃圾郵件制造者能夠判斷多少或哪些郵件地址收到並打開了郵件。絕大多數可疑郵件都是垃圾郵件。
第五、不要回應。 對於來自未知或可疑地址的郵件,最好的方法是刪除它們,或讓垃圾郵件過濾器隔離它們。如果用戶回復垃圾郵件,甚至要求把自己的郵箱地址從發送的郵件列表中刪除,垃圾郵件發送方會確定用戶的郵箱地址是有效的,那麼用戶的收件箱將成為更多垃圾郵件的目標。如果用戶不確定來自某個公司的個人信息請求是否合法,請直接聯絡這家公司或通過浏覽器直接訪問其網站。
第六、不要點擊。 如