开心访谈 专家支招密码安全
“我通常将网站分为4级:一般网站(例如论坛等)、重要网站(和自己真实身份挂钩的网站)、常用邮件系统、交易网站。不同等级的网站使用不同复杂度的密码。”中国著名黑客、中国CAD/CAM协会会员徐小榕日前在做客开心访谈时给普通网友支招。
12月26日消息,继CSDN、人人、天涯等网站用户帐户信息相继泄露后,今天凌晨有网友爆出新浪微博用户资料也被泄露。数据显示,共有逾476万用户帐户和密码被泄露。对于网上流传的遭到泄露的kaixin.com的数据库,安天实验室技术发言人苗得雨在接受网友采访时澄清:遭到泄露的是kaixin.com的数据库,而非是kaixin001 的。因为kaixin.com用的与人人是一套程序,因此人人泄露了,kaixin.com自然也难免。”
如何才能确保用户资料不被黑客泄露,打好信息安全这一场没有硝烟的战争呢?上周末,开心网推出针对信息安全的开心访谈,请到两位著名安全专家——安天实验室技术发言人苗得雨与中国著名黑客、中国CAD/CAM协会会员、高级程序员徐小榕,就信息安全的话题和开心网友做了深入的探讨和交流。
迄今为止,这次泄露究竟可能给用户带来什么危害?在开心访谈中,苗得雨称,这些丢失的数据中含有密码和注册邮箱。黑客很可能先去各个邮箱试一遍,看看是否有能够进入的邮箱,然后再看看邮箱中是否有有价值的信息。最后在去一些其他网站,例如淘宝,试验一下同样的用户名或密码能否登陆,然后……
徐小榕认为,攻击者可能会整理出有价值的账户,如VIP账户,借机扰乱网站秩序,传播虚假、欺诈信息,甚至直接进行网络诈骗等等。也可能利用社会工程学反查用户邮箱密码,进一步窃取用户隐私,假如用户的邮箱密码和网站注册密码相同,攻击者就会进入用户邮箱,对用户造成更深层次的危害。
因此,在徐小榕看来,网站注册密码和自己的邮箱密码最好不要设置成一样的,这样,即便黑客获知了用户名和密码,也不会对用户造成进一步的危害。他说自己通常将网站分为4级:一般网站(例如论坛等)、重要网站(和自己真实身份挂钩的网站)、常用邮件系统、交易网站。如果觉得不同网站不同密码太麻烦,可以设置几个常用密码,针对不同等级的网站使用不同复杂度的密码。
针对用户关心的如何设置密码的问题,苗得雨认为,对用户而言,最好通过数字、特殊字符和字母相结合的方式设置密码,这样密码更安全更可靠,不能使用诸如生日和电话号码等明显的信息作为密码。同时,网站方面也应该做好加密工作,例如通过MD5进行加密,确保密码安全,不能使用明文保存密码。