開篇先分享一個故(shì)事(gù)引入本期話題:某公司請第三方安全機構做滲透測試,安全機構的大神們各顯神通後發現客戶公司的資訊安全防護還是非常到位的,一時半刻難以得手。于是乎測試團隊另辟蹊徑,提出“釣魚”方案,搭建了一個從通路位址到内容都能夠以假亂真的客戶公司的管理平台,并向所有管理者發送郵件稱管理平台“臨時維護”,維護期間,如需使用管理平台請從“釣魚島”登入。自古套路得人心,就這樣,測試團隊順利拿到管理者的賬号和密碼,圓滿完成滲透任務。
在日常生活中,各種各樣的密碼安全問題,層出不窮,由此引發的各種恩怨情仇,坑蒙拐騙,大家是否早已身經百戰,甚至見怪不怪了呢?
從壞人的角度出發,擷取賬号密碼的手段可以分為技術手段與非技術手段。技術手段從密碼本身着手,暴力破解,利用軟硬體監聽記錄;非技術手段則以人為切入點,坑蒙拐騙,稍有不備,資訊就會在不經意間洩露。兩種手段互相結合,“拖庫-洗庫-撞庫”,一條龍服務,多少密碼到頭來被“安排”的明明白白。
無論對手的活計有多花哨,套路有多深,堅持良好的密碼管理與使用習慣,恪守本心,方為正理。有道是,“他強由他強,清風拂山崗。他橫由他橫,明月照大江”。
在下今日奉上《密碼真經》一冊,與諸君共享——
第一式 不要弱密碼!不要弱密碼!不要弱密碼!
首先要強調一點,凡是能夠輕易被暴力破解的密碼都是弱密碼,不單指簡單密碼,也不僅限于各種字典表。那麼,如何才能得到一個不是弱密碼的密碼呢?例如,1password 上随機生成的密碼,預設長度 24 位,含大小寫字母、數字和符号的混合。而設定一個足夠安全又便于記憶的密碼,其實并不複雜,有很多簡單易操作的方法 (參見《“2020網絡安全宣傳周” 12345678?!》)。此外,給密碼加密同樣是個好辦法,比如,把熟悉的密碼在鍵盤上全部向右平移一格輸入,就會得到一個難以分析且友善好記的新密碼。
第二式 對密碼進行分級 控制密碼數量
日常生活中,我們要處理不同賬号的許多密碼,可以根據實際使用情況,對賬号密碼歸類分級,比如“核心-重要-普通”的經典三分法。各級密碼要做到互不相通,不要有任何聯系。反複使用相同的密碼新增賬號是大忌。切記能使用第三方賬号登入的盡量選擇關聯三方帳号,減少注冊所需的密碼數量。http://haveibeenpwned.com 建議使用 1password 為每個賬号生成對應的随機密碼,以確定足夠安全。但這裡也提醒大家慎重使用密碼管理軟體,重要的密碼不應該被寫在“紙”上,能存儲本地的盡量少上雲,雲上存儲則需要加密且足夠安全。務必妥善保管好密碼管理軟體本身的安全憑據,倒持太阿不可取。
此外,安全性與易用性,密碼數量與可管理性之間,都需要維持平衡。
第三式 密碼不要長期使用 經年不換
密碼更新要做到脫胎換骨,新密碼和原密碼同樣要做到互不相通,舉例來說,本質上 “password2019” 和 “password2020” 其實可以算做一個密碼。密碼多久更換一次、如何更換,并沒有固定規則,很大程度上,這取決于使用者如何在安全性和易用性之間保持平衡。實際工作與生活中經常會遇到密碼經年不變的情況,這極大加劇了密碼洩露的風險,這些不慎落入不法之徒手中的“老密碼”就有可能為其創造“機會之窗”。
通過一些工具,我們可以比較容易地掌握自己密碼的洩露情況。例如,在網站 http://haveibeenpwned.com 輸入密碼進行查詢,可以看到你的密碼是 “Oh no — pwned!” 還是 “Good news — no pwnage found!”。還有,在 Google Chrome 浏覽器上也能通過安全檢查了解自己的密碼是否已被洩露到了網際網路上。當然,日常關注社工庫也是個不錯的辦法。
第四式 輸入密碼注意環境安全
在不安全的環境 (如網吧、公用電腦、公共WIFI) 裡,首先要避免直接進行密碼操作,盡量使用軟鍵盤輸入密碼,其次,要多多留心浏覽器的安全資訊提示,木馬病毒、釣魚、抓包、劫持其實距離我們并不遙遠。
你聽,每次 ATM 都在提醒:
請确認周邊環境安全
注意遮擋小鍵盤