铁路12306网站410万用户信息泄露 怎么预防撞库攻击

2018年12月29日11:39:32 评论 2,313 2567字

今日有人在网上兜售铁路12306网站用户账户及密码信息,经验证这些账号户密码都是真实的。同时12306官方说这次密码泄露是用户自行登陆第三方抢票软件泄露的,并非官方网站泄露。无论是那种途径泄露,对于410万用户来说都是严重的安全威胁,因为很多人把12306当作购物网站,使用的密码和其他购物网站的相同。

在互联网发达的今天,我们生活中要依赖很多很多网站或app功能,使用这些网站或app就需要注册,因此会产生很多用户名和密码。这么多用户名和密码不可能都不一样,因为人脑根本记不住这么多不同的用户名和密码,还要把他们和不同的网站和app相对应。因此很多人就使用两个密码,一个用户看帖子,上论坛等应用,而另一个用于网上购物,支付等安全性相对较高的网站。而12306很多人会把他当成购物网站,因此使用购物网站的的账户和密码,一旦泄露可能会导致这些购物网站的账户和密码同时泄露。

在网络攻击中有一种攻击方法叫撞库,就是利用已经泄露的账户和密码用程序去登陆常用的其他网站和应用,其实就是撞运气,但是因为很多人在网站上使用的账户和密码都相同,所以这种破解方法最有效。

那么在日常生活中我们该如何避免账户泄漏后的撞库攻击威胁呢?下面就我所知的一些方法分享给大家。

1、将重要网站和不重要网站密码分开设置

将重要网站和不重要网站密码分开设施,比如微信、支付宝等应用设置一个密码,平时上网看电影,下载音乐的网站设置另一个密码。一般平时使用比较多的应用也是大公司出品,这些公司因为有大量的专业安全工程师在测试和改进自家产品,因此密码泄露风险较低。而小公司的网站和app则因为技术实力问题漏洞会比较多,因此更容易被攻破。容易被攻破的网站也包括很多政府和事业单位的网站,不要因为他们是国家的就认为他们的网站也安全,这些单位的网站和应用很可能五六年都不修补漏洞,对黑客来说等于开门揖盗。

2、每个网站使用不同的密码

这是对上面一条的补充,每个网站使用不同的密码对很多人来说可能有点困难,因为根本记不住,但这里我要告诉大家我的方法,用这种方法很容易就能每个网站用不同密码。大家可以在设置网站密码是使用网站名称+自己固定密码的方法,比如12306的网站设置成tl123456,携程的密码设置成xch123456这样的格式。这样自己肯定能记住,即使后面这些密码泄露了也不用担心会被撞库攻击,这种密码如果用人脑分析的话可能会被猜出来不同网站的前缀不同,但电脑撞库则不会。按这种方法设置的密码可以保证在撞库攻击中不能成功,对于一些懒人即使人工攻击可能也不会注意到,所以相对来说比较安全。

3、多使用QQ微博等社会化登陆功能

现在我们会经常使用QQ、微信、微博等社交应用,而这些应用也提供社会化登陆功能,就是大家在别的网站上常见的QQ登陆和微博登陆功能。很多人担心这种登陆方式会泄露QQ等应用密码,其实这种理解是错误的,因为这种社会化登陆只是QQ等软件给了这些网站一个接口,使他们获得了QQ会员的部分信息,比如头像、性别、年龄等,而不会获得QQ的密码。用这种方式登录后第三方应用是不可能得到你社交应用的密码的,你在这些网站也不用设置密码,因此可以最大限度的保证密码安全。

4、在重要应用中启用手机号验证

现在很多应用都有手机号验证功能,比如支付宝,微信等,即使密码泄露,其他人在其他电脑或手机上登陆时这些应用会自动要求填写手机验证码,而手机在你自己手里,他们是不可能获得验证码的,因此即使密码泄露也不但些应用的安全。

5、启用指纹、人脸识别等生物验证

在大多数应用中都已经支持指纹验证,而部分应用中也开始支持人脸验证。这种生物验证的好处是不存在数字密码,可以避免密码被别人偷窥,摄录等泄露风险。但目前还没有只支持生物验证而不用数字密码的应用,生物验证基本上是作为数字密码的补充在使用,尽管其使用频率很高,因此保证数字密码的安全还是很有必要的。

而目前生物验证纹也存在两种不同存储方法,比如苹果和华为的人脸识别和指纹识别都是存储在手机芯片中,应用验证时是从手机中调取;而其他手机则是将指纹和人脸数据上传到应用的服务器中,认证时从应用的服务器调取指纹和人脸数据。这两种方法的不同之处在于苹果和华为的方法更安全,因为应用本身也获取不到指纹和人脸数据,就不可能发生泄露的可能,而后一种方法则可能在传输和服务器被攻破的情况下泄露用户的指纹和人脸信息。

其实指纹和人脸信息泄露后比数字密码泄露的危害更大,因为数字密码你可以无限次改,但生物纹泄露后就永远泄露了。

在这里我不能说除华为和苹果外的其他手机就不安全,这样会得罪一大片人,因为每个手机品牌都有一大堆忠实粉丝。我在这里只是告诉大家,在除华为和苹果两个品牌手机上使用指纹和人脸识别时尽量少在小公司出品的应用中启用这种验证方法,因为小公司的应用更容易泄露。

6、对重要应用开启异地登陆验证码保护功能

现在很多应用都支持异地登陆验证功能,当在异地登陆时会要求手机验证码验证,开启这个功能后就能最大限度防止撞库攻击。

这个功能和第四点的很像,但又不同,第四点的是当我们更换登录设备后需要手机验证码验证,比如换新手机后第一次登陆需要手机验证码,登陆后再登陆就不用了。这是利用了手机和电脑网卡的MAC地址验证,就相当于人的身份证号,每个手机和电脑的MAC都是唯一的,只要识别一次后验证程序就知道这是“熟人”了,不需要再验证。

而异地登陆功能则是识别网络IP地址,即使是同一台设备更换了IP地址也会要求重新验证,甚至有些程序你清理了浏览器的Cookie后也会被要求重新输入验证码,由于非专业人士,所以对于这种现象不是很懂。

7、在网吧等公众场合不要使用密码存储功能

我们可能经常需要使用公众场合的电脑登陆一些应用,很多浏览器都有密码存储功能,如果在公众电脑上存储密码是一件很危险的事情,因此登陆时一定要看清楚,选择不存储密码。同时如果条件具备可以在每次使用公众电脑登陆后都清除下浏览器记录,或者使用无痕模式打开浏览器。

以上就是我能想到,也是日常使用中对密码保护及防止密码泄漏后撞库攻击的方法,如果你还有其他好的方法可以留言给我,我补充进文章里方便更多的人。

最后提醒下,在评论位置输入你的QQ号并不会有任何危险,因为用不着输入密码,只是获得你的QQ号和昵称,用于生成一个本网站的用户而已。

  • 版权声明: 发表于 2018年12月29日11:39:32
  • 转载注明:https://www.savouer.com/3197.html
匿名

发表评论

匿名网友 填写信息