关于密码安全:一次惨痛的教训
追加修改(2015-08-06 17:53:30):
注:帖子能够引起大家这么多讨论也是很欣慰。大家也有推荐keepass等其他工具的。找到自己喜欢的就好!再次感谢大家支持!
最近被密码泄露的事情搞得是焦头烂额 。一直以为密码泄露这种事情,就算发生在自己身上也没什么危害,支付宝里面没余额、网银里面没存款(典型的DS)。结果是真发生了才意识到有多严重。如果自己早期能够加强安全防范意识,这次事件是完全可以避免的。这里把这次事件做一个记录和总结,分享给值友,相信值友们都是经常混迹网络各个角落,希望大家也能够引以为戒(顺便看能不能骗点金币 )。
1.事情的开端
某日发现自己在公司的BUG系统(没错,我还是IT从业人员 )中频繁被踢出,并且踢出以后重新登录发现密码不正确了,加上最近任务重、时间紧(好像没有任务不重,时间不紧的时候 )没有太重视。联系后台管理直接给我修改密码了,没过几分钟发现又被踢出了。这个时候其实我还没有觉得是我的密码出问题了,还以为BUG系统有BUG(:))或者我的操作有问题(:)) ,只到我打开我的163邮箱,发现有BUG系统发送的密码找回邮件,才恍然大悟有人能够进入我的163邮箱。于是乎赶紧修改163邮箱密码,谁知这才是悲剧的开端。我发现我居然修改不了我的163密码,因为不知道在某年某月某日我用了163的密保卡,天啊,N年前的事情了,电脑换了几台了,家都搬了几次了,上哪找我的163密保卡。申诉也失败了,服了163了,修改密码无门,我开始了和这次黑客(熊孩子)的对抗之旅 。
提示1:查看你常用的密保邮箱,确定自己能够修改密码及密保都工作正常。
2.分析
这肯定是一次非技术入侵,早几年CSDN明文密码泄露,自己是有CSDN账号的,没有去注意,也没有修改对应账号的密码(是的,我就是传说中的一密流,一个密码走天下),为确保自己的猜测,到网上去搜索了上次泄露的密码,自己的密码赫赫在目啊T_T。确认这点之后稍微有点放心,技术流黑客咱们防不了,熊孩子咱还搞不定吗,好歹还是从业人员呢,于是我开始放弃163邮箱,转投别的邮箱作为密保邮箱,修改密码等。
提示2:关注密码泄露,定期修改密码,不要当一密流。
3.假尾声
后续虽然也有别的账号被修改,但及时修改密码,调整密保倒也没有什么大的问题。期间发生一件事是熊孩子QQ联系到了我的上司,试图找到突破口,由于经常和上司沟通,他也知道这件事,也就一笑了之,以为这件事到此结束,谁知在平静了两天之后爆发了(真是暴风雨来临之前的平静 )。
4.高潮
公司论坛失陷,具体来说是所有的管理员账号被人修改了密码,上司的QQ被盗,淘宝被登录…。经过一系列抢修还算恢复正常。这就是高潮?没爽?你以为会上演黑客大战?想多了。不过到这已经相当严重的了。
提示3:不要小看自己的密码安全,因为你可能会危及到别人的账号安全。
5.解决办法
一系列修改密码,查找漏洞操作后,我们开始痛定思痛。
5.1 加强安全意识
自己不注意安全,被盗号之类的那就是no zuo no die啦(说的就是我 )。要想知道自己的密码是否已经被人泄露了,建议搜索下自己常用的用户名,如果有结果出来,恭喜你被泄露了,赶紧改密码去吧,还有不要以为泄露的密码是有md5加密的就没事了,网上有一个传说中的大数据库,用于很多md5的结果搜索一下出来就能知道你的明文是什么了。不要盲信网站论坛等宣传的安全手段,真的不太安全。
5.2 借用工具生成、保存密码
见的密码什么生日啊,电话啊之类的都不算是特别安全的密码,那什么是安全的密码呢,就是你自己都记不住的随机串,完全猜不透,借用风太师叔的话“无招才能做到不被破招”,你自己都不知道规则那别人还怎么透过你的信息来猜测你的密码呢。其次不同的账号使用不一样的密码,确保做到就算一个网站沦陷了不会影响你其他账号,不要忽视,你的确有很多账号,很多你自己的想不到的熊孩子会帮你记起的。要做的这两点人脑是完成不了了。好在还有很多工具可以帮助我们,比如1Password,dashlane等。其中1Password是跨平台的,mac、pc、ios、android都有。dashlane是在线存储了,不放心,万一他要是挂了,那还不完全沦陷。下面就以1Password为例来一个简单的教程。
6.1Password
工具下载安装就不说了,搜索一下你就知道。1Password是付费软件,至于破解么,我不说你也懂的(支付付费软件保证软件行业健康发展)。Mac版界面如下:
话说大妈,在Safari下上传图片插件错误是什么鬼?
简洁清楚,就不再赘述了。
要想方便的使用还得安装一个浏览器客户端,你也不想每次登陆账号总要打开软件,复制一下密码,然后粘贴,会死人的好伐。安装步骤也简单,搜索一下你就知道。打开后是这样:
没错,注册账号的时候就选择密码生成器,他会根据你指定的长度生成这样类似的密码:cPxA9m[DUiVTh>)rbQ*i4eQ% , 这都是什么鬼,相信这样的密码应该是强密码了吧。不用担心你记不住,使用浏览器插件以后,1Password会提示你是否保存,以后他就记住了,当你在网站登陆的时候使用```Command+```(没错这是mac上的,windows上的还需各位看官自己尝试了)1Password会帮你自动填入的。
最后别忘了给手机上装一个。
7.结束
不说了,老板叫我去修复服务器了。祝密码安全,远离侧漏~(呃,泄露)
小编注:感谢楼主的分享,对于经常在网上“剁手”的值友们,请注意密码安全。
没有人气的歌曲
校验提示文案
翎峋
校验提示文案
让爱情飞
校验提示文案
双子
校验提示文案
Saury
校验提示文案
边洛
校验提示文案
祖传教书匠
校验提示文案
levinlala
校验提示文案
细细小面条儿
校验提示文案
cherry澄
校验提示文案
微型黑洞
校验提示文案
KronosLee
只有其他所有账号密码都塞进一个word文件里面,这个文件电脑里一份,手机里一份,网盘里一份
校验提示文案
二行
校验提示文案
大灾变
校验提示文案
这件事已经报警
校验提示文案
冬礼
校验提示文案
痔疮久治不愈
校验提示文案
bill6688
校验提示文案
1stor
校验提示文案
会翻跟头的树
校验提示文案
batch2000
校验提示文案
会翻跟头的树
校验提示文案
1stor
校验提示文案
violente
校验提示文案
老汉CBR
校验提示文案
levinlala
校验提示文案
markdown
校验提示文案
GOLDENLAMB
校验提示文案
ShadowsX
校验提示文案
翎峋
校验提示文案
懒少
校验提示文案
罗伊德
校验提示文案
凡烦
校验提示文案
天天王盖地虎
校验提示文案
木头3728
校验提示文案
细细小面条儿
校验提示文案
orochileo
校验提示文案
玛达迷达
校验提示文案
vbbgg123
校验提示文案
yswh
校验提示文案