这一天,小编的邮箱收到通知,某账户登录存在异常,赶紧登陆该账户查看了一下近期活动,有异地登陆现象,忙修改密码,然后自查系统,不过由于好久都没登陆过该账户,基本上可以排除账号密码被木马盗取的可能性。而该网站的安全性还是有些保障的,基本上可以排除泄露的可能,一来二去就可能是被撞库了。
于是拜托某高手用他的付费账号在某暗网社工库中帮忙搜索了一下,不一会儿,高手发来一长串截图,好吧,这张截图里的某条记录把小编忘记多年的在某论坛注册的账号都找回来了,真是泪流满面啊。
接下来小编就只能挑选着一些重要的账号进行密码更改操作了,还有些账号因为太久没有登陆都给网站或论坛销号了。还有些已经根本用不上了,可是网站却没有提供销号功能啊!
嗯,小编以前也犯了很多网友所犯的错误,那就是使用通用的账号密码,简单的来说,就是利用同一个账号名称和同一个登录密码来做全网通用的注册账号,结果就是惨兮兮的。
因为随便一个网站或论坛里的账号密码遭到泄露,这些泄露出来的账号密码就会给黑客们利用来撞库,也就是利用所获得的账号密码来尝试登陆其它网站,看看能不能得到有用的信息。而这些被黑客入侵导致拖库进而大批量用户的账号密码被窃取的事件,不仅限于小网站小论坛,不说远的,最近的就有几个大型网站惨遭荼毒。
许多用户都习惯于在不同的网站注册时使用相同的帐号密码来注册新帐户,这也是是许多用户的无奈之举。毕竟,目前还没有更好的身份验证方式,指纹、瞳孔、声纹、人脸识别等等都还未普及,在电脑上,更多的使用的依然是账号密码登陆方式,要用户一个网站一个账号密码,那记忆起来可就麻烦一些了,当然,把它写下来是个不错的主意,但是你不能随时携带着密码纸吧。
一、你的账户密码被泄漏没?两个可以查询泄漏账户密码的网站
开篇时小编拜托高手查询账号密码泄露的网址,那是暗网,而且是会员制,会费也不低,当然资料也是最全面最新的,至于网址这里就因法律法规而无法显示。不过还是能提供两个目前大众可以查询的免费密码泄露查询网站,当然里边的资料可能不是最新最全的。
首先是一个由 1Password组建的一个国外的安全检查站 - have i been pwned,用户可以在该网站输入自己的邮箱,来检测你的账号是否在泄露账号列表中,并可查询出泄露站点。
操作很简单,在网站的搜索框输入你的Email 或常用的帐号,再点击pwned?按钮,就可以获得结果。
在搜索结果中,如果是显示“Good news — no pwnage found!”,就表明目前在它的资料库中还没有找到相同的资料,至少目前该网站收集到的泄露库中没有资料。
暂时表示安全
但是如果搜索结果显示“Oh no — pwned!”,就证明你所查询的邮箱或账户已经遭到泄露,下边还显示了在多少个网站泄露的数据中找到了该账号,
惨遭泄露
别急,往下拖,你可以看到具体泄露的网站,还能看到该网站泄露了哪些具体的内容,比如email地址、账号、密码等内容。嗯,在这里小编又找到了一个已经忘在九霄云外的某网账号。
查看具体泄露网站
在have i been pwned中,还可以看到具体有哪些网站曾经被泄露过用户资料信息。
查看泄露网站
想看看你的密码安全不?多少用户在使用相同的密码以防止暴力破解,在have i been pwned中也能够查询,在Passwords选项中输入你所使用的密码,就可以查看到该密码的通用性。
查看密码通用性
14亿!连密码都能轻松看到的查询库
再来看看另一号称有14亿邮箱密码数据库的密码查询网站,访问该网站后,用户可以按照用户名或邮箱地址来查询特定邮箱是否存在密码泄露。与have i been pwned不同的是,该网站的查询结果全为明文的泄露密码信息,也就是说可以完整的看到账号与密码资料,你可以查询到其它人也可以轻松查看到,所以查到有泄露,抓紧修改密码。
某密码泄露查询网站
该网站的查询速度慢,得稍等片刻才能获得查询结果。有结果就是遭到泄露了,没有则窃喜一下吧。
查询结果
没关系,我又不是大人物,黑客怎么会盯上我这个小人物呢?非也非也!
黑客们入侵各个网站所获得的资料,会建立一个综合查询库,然后会在暗网中以会员形式查询甚至出售。综合各个网站得到的账号密码和资料消息,还有在大数据分析下,在社交网站中可以得出你的兴趣爱好、网购记录、在你的云备份里获得照片、视频甚至不可描述的需保密内容。甚至可以获得你的身份证信息(嗯,目前国内所有游戏都需要实名认证,发表评论也需认证),进而可以凭借获得的信息干出许多你自认为不可能的事儿。
黑客可能会用你的手持身份证照片开网店卖假货,更严重点的,他们会用你的信息借网贷,一些不太正规的应急借贷认证非常宽松,坏人用你的身份借了钱就消失不见了,这笔钱可能就要你这个冤大头去还了。
所以,千万不要在云存储中存储证件照片,特别是手持身份证照片!!!
凭借一个就被纳入社工库的QQ号,就可以查询到该用户用过什么密码,绑定过什么邮箱,使用地点、好友关系、加入的QQ群。
二、你的密码靠不靠谱?通用密码不能用,弱密码一样不能用
据密码泄漏查询中可以看到,不少用户使用的都是弱密码,所谓的弱密码即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、英文单词、键盘上的相邻键或常见姓名,例如“123456”、“abc123”、“Michael”等,并且密码位数少于8位的亦属于弱密码范畴。
这类的弱密码极易遭到黑客的暴力破解,据某网站的测试结果“六位数密码 "pYDbL6" ,CPU需要90分钟,GPU只要四秒,而七位数密码 "fh0GH5h" ,CPU需要四天的时间,而GPU只需17分30秒,如果是八位或九位数以上,随机大小写混合的密码,则GPU需要算48天,而CPU需要算43年。”当然,这是几年前的数据了,现在的应该更快,你的密码算是弱密码么?可以通过这个网站来进行测试,该网站将详细的给出你的密码强度分数、复杂程度、加分及扣分条件。
查看你的密码强壮不
那么要创建一个较为强壮不易被暴力破解的密码有那些要领呢?
◆ 密码位数要足够长(最少8位)
◆ 密码需由字母+数字+特殊字符组成
◆ 密码不能与登陆帐号相似
◆ 密码不要用键盘键位排列顺序 比如“qwertyuiop”
◆ 密码不要个人信息如生日、姓名拼音等 容易被猜测破解
来看看这个被誉为史上最牛最诗意密码“ppnn13%dkstFeb.1st”它当然属于强密码范畴,而某位有才的网友直接将其意义翻译出来“娉娉袅袅十三余,豆蔻梢头二月初”,这太有才了。
三、拒绝通用密码与弱密码 请个靠谱的账号密码保险箱
使用账号密码还有那么多的限制,又要每个网站使用不同的密码,都不知道该用啥密码好了,也不知道如何记住这么多网站的密码,真的要拿个本子写下来么?可是本子也不安全啊!没关系,接下来请出一个小软件“KeePass”来帮你创建、管理、记录、使用密码,你要做的就是记住该软件的主密码就可以了。重要的是它有手机版,可以随身携带。
KeePass:它是一个密码管理器,可以帮助用户产生不同的强密码,也可以帮助用户记录这些密码,还能帮助用户自动填写密码。
KeePass为英文软件,不过用户可以通过下载简体中文语言包(将语言包解压到KeePass安装目录),然后“KeePass主界面菜单栏→View→change language →simplified chinese”即可将其转为简体中文操作界面。
KeePass主界面
KeePass也有手机版,用户可以在手机中安装KeePass,然后将数据库拷贝到手机中,使用KeePass手机版打开该数据库就可以凭借管理密码查看存储的数据。
KeePass手机版
四、二次验证让账号更安全
现在许多网站都加强了防范措施,开启了二次验证功能,所谓的二次验证,就是当用户使用账号密码登陆时,需要接收手机短信或者email所收到的验证码才能进入或者才能访问敏感信息。开启该功能后,即使别人拿到你的账号密码也没有权限做啥事儿。比如访问微软账户里的敏感信息时就会要求用户进行验证。
微软账户的二次验证功能
对于苹果设备用户,请加强你的Apple ID账户密码安全,开启双重验证,避免因为账号密码泄露而导致设备被恶意锁机勒索的事情发生。
Apple ID双重验证
鹊结语:不要用通用的账号密码,特别是在重要的网站上。开启安全认证功能,比如可开启异地登陆需要验证手机甚至每次登陆需要验证,还有开启设备锁,在大数据时代,一切安全为上,小心驶得万年船!
閱讀更多 米小粒先生 的文章
