隨著互聯(lián)網(wǎng)的高速發(fā)展,網(wǎng)絡(luò)購(gòu)物,電子網(wǎng)絡(luò)銀行,社交社區(qū),工作郵箱等等,很多私人私密的數(shù)據(jù)都是通過(guò)互聯(lián)網(wǎng)來(lái)傳送的,然而用戶登錄憑據(jù)頻頻泄密,數(shù)據(jù)庫(kù)安全嗎?這些年相信大家經(jīng)常看到媒體報(bào)道,哪個(gè)網(wǎng)站的用戶登錄信息遭泄密,又有哪個(gè)網(wǎng)站的個(gè)人信息遭泄密。。。
每當(dāng)類似的泄密信息流出,大家心中都捏著一把冷汗,我的信息遭泄密了嗎?趕緊改。。。。。。
今天又有一位研究人員發(fā)現(xiàn)了一個(gè)命令控制數(shù)據(jù)庫(kù),里面有大量被盜的Facebook,Twitter,雅虎,ADP等用戶登錄憑據(jù),而這僅僅是近幾年各種泄露事件的最新發(fā)展。你別指望互聯(lián)網(wǎng)服務(wù)可以保護(hù)你的密碼;你自己保護(hù)密碼。
這次發(fā)現(xiàn)曝光的兩百萬(wàn)登錄憑據(jù)被盜事件和近幾年的其他泄露事件比起來(lái)簡(jiǎn)直小巫見(jiàn)大巫。Adobe的泄露事件就涉及1.5億用戶憑據(jù)。
發(fā)現(xiàn)了這個(gè)僵尸網(wǎng)絡(luò)和密碼數(shù)據(jù)庫(kù)的Trustwave沒(méi)有將其發(fā)布出來(lái),但是其他被公布的數(shù)據(jù)庫(kù),你都可以直接搜索到。筆者發(fā)現(xiàn)兩個(gè)網(wǎng)站可以搜索多個(gè)數(shù)據(jù)庫(kù)。
Troy Hunt的Have I been pwned?( http://haveibeenpwned.com/)網(wǎng)站依靠一次搜索就合并了五次泄露事件的數(shù)據(jù)庫(kù):
152,445,165Adobe賬戶
859,777 Stratfor 賬戶
532,659 Gawker賬戶
453,427雅虎賬戶
37,103賬戶
輸入郵箱地址,到這個(gè)網(wǎng)站來(lái)搜索,然后就可以看到結(jié)果。筆者有一個(gè)郵箱地址在Adobe數(shù)據(jù)庫(kù)中,不過(guò)由于知道出現(xiàn)了數(shù)據(jù)泄露,所以筆者前段時(shí)間改了密碼,而且也沒(méi)有將其用到其他網(wǎng)站。
Hunt在其博客條目中說(shuō)道,他之所以創(chuàng)建這個(gè)網(wǎng)站,主要是為了練習(xí)某些特定的Windows Azure技術(shù),但他信任這個(gè)服務(wù),希望這個(gè)有實(shí)際作用。他表示有計(jì)劃添加新的數(shù)據(jù)庫(kù)和新特性,如給予你警告提示,以防你的郵箱地址出現(xiàn)在某個(gè)數(shù)據(jù)庫(kù)中,以及在某個(gè)域名中進(jìn)行搜索的能力(如@zdnet.com)
另一個(gè)網(wǎng)站 Should I Change My Password? (https://shouldichangemypassword.com/) 是前端有償服務(wù)。該網(wǎng)站可提供郵件提醒服務(wù),名曰Email Watchdog郵件看門(mén)狗,而且這項(xiàng)服務(wù)是免費(fèi)的。但是,如果你搜索某個(gè)地址,且這個(gè)地址存在與他們的數(shù)據(jù)庫(kù)中,他們是不會(huì)給你出示詳細(xì)信息的,只會(huì)告訴你這個(gè)地址是否在該數(shù)據(jù)庫(kù)中:
看似很怪,因?yàn)樗麄?ldquo;不能告訴你你的郵箱地址是在哪次事件是被泄露的。Haveibeenpwned.com則可以提供這項(xiàng)信息,因?yàn)檫@些信息保存的數(shù)據(jù)庫(kù)是按事件記錄的。Shouldichangemypassword.co只保存了密碼,最近一次泄露事件的日期和泄露次數(shù)的哈希值(例如,被泄露到了幾個(gè)數(shù)據(jù)庫(kù)中)。這似乎用處不大。如果是從haveibeenpwned.com發(fā)現(xiàn)我的Adobe賬戶被泄露了,那么我只需更改密碼。”
或許shouldichangemypassword.com(Avalanche Technology Group提供的服務(wù))以后會(huì)把這一細(xì)節(jié)作為有償服務(wù)的一部分提供給用戶。
不論你的信息是否出現(xiàn)在這些數(shù)據(jù)庫(kù)中,最好的策略還是設(shè)置高強(qiáng)度密碼,而且為每個(gè)使用的服務(wù)設(shè)置不同的密碼。光靠腦子是記不住這么多密碼的,所以你需要一款密碼管家。筆者使用LastPass,其他類似的工具還有1Password和RoboForm等等。
用戶登錄憑據(jù)頻頻泄密,數(shù)據(jù)庫(kù)安全嗎?IT大佬們不要一味著追求市場(chǎng)利潤(rùn),網(wǎng)站數(shù)據(jù)庫(kù)安全不容刻緩。
華軍建議大家,平時(shí)不要注冊(cè)一些模式的網(wǎng)站,互聯(lián)網(wǎng)用戶登陸憑證最好將網(wǎng)絡(luò)銀行賬號(hào)密碼、電子支付賬號(hào),工作郵箱登陸賬號(hào)密碼等等分別設(shè)置,不要使用一致的登陸信息,一旦個(gè)人信息遭泄密,損失太嚴(yán)重了。
沈陽(yáng)數(shù)據(jù)恢復(fù) 
