当前位置:
文章详情

关于密码安全:一次惨痛的教训

2015-08-04 16:38:14 273点赞 625收藏 160评论

追加修改(2015-08-06 17:53:30):
注:帖子能够引起大家这么多讨论也是很欣慰。大家也有推荐keepass等其他工具的。找到自己喜欢的就好!再次感谢大家支持!

最近被密码泄露的事情搞得是焦头烂额关于密码安全:一次惨痛的教训 。一直以为密码泄露这种事情,就算发生在自己身上也没什么危害,支付宝里面没余额、网银里面没存款(典型的DS)。结果是真发生了才意识到有多严重。如果自己早期能够加强安全防范意识,这次事件是完全可以避免的。这里把这次事件做一个记录和总结,分享给值友,相信值友们都是经常混迹网络各个角落,希望大家也能够引以为戒(顺便看能不能骗点金币关于密码安全:一次惨痛的教训 )。

1.事情的开端

某日发现自己在公司的BUG系统(没错,我还是IT从业人员关于密码安全:一次惨痛的教训 )中频繁被踢出,并且踢出以后重新登录发现密码不正确了,加上最近任务重、时间紧(好像没有任务不重,时间不紧的时候关于密码安全:一次惨痛的教训 )没有太重视。联系后台管理直接给我修改密码了,没过几分钟发现又被踢出了。这个时候其实我还没有觉得是我的密码出问题了,还以为BUG系统有BUG(:))或者我的操作有问题(:))关于密码安全:一次惨痛的教训 ,只到我打开我的163邮箱,发现有BUG系统发送的密码找回邮件,才恍然大悟有人能够进入我的163邮箱。于是乎赶紧修改163邮箱密码,谁知这才是悲剧的开端。我发现我居然修改不了我的163密码,因为不知道在某年某月某日我用了163的密保卡,天啊,N年前的事情了,电脑换了几台了,家都搬了几次了,上哪找我的163密保卡。申诉也失败了,服了163了,修改密码无门,我开始了和这次黑客(熊孩子)的对抗之旅关于密码安全:一次惨痛的教训

提示1:查看你常用的密保邮箱,确定自己能够修改密码及密保都工作正常。

2.分析

这肯定是一次非技术入侵,早几年CSDN明文密码泄露,自己是有CSDN账号的,没有去注意,也没有修改对应账号的密码(是的,我就是传说中的一密流,一个密码走天下),为确保自己的猜测,到网上去搜索了上次泄露的密码,自己的密码赫赫在目啊T_T。确认这点之后稍微有点放心,技术流黑客咱们防不了,熊孩子咱还搞不定吗,好歹还是从业人员呢,于是我开始放弃163邮箱,转投别的邮箱作为密保邮箱,修改密码等。

提示2:关注密码泄露,定期修改密码,不要当一密流。

3.假尾声

后续虽然也有别的账号被修改,但及时修改密码,调整密保倒也没有什么大的问题。期间发生一件事是熊孩子QQ联系到了我的上司,试图找到突破口,由于经常和上司沟通,他也知道这件事,也就一笑了之,以为这件事到此结束,谁知在平静了两天之后爆发了(真是暴风雨来临之前的平静关于密码安全:一次惨痛的教训 )。

4.高潮

公司论坛失陷,具体来说是所有的管理员账号被人修改了密码,上司的QQ被盗,淘宝被登录…。经过一系列抢修还算恢复正常。这就是高潮?没爽?你以为会上演黑客大战?想多了。不过到这已经相当严重的了。

提示3:不要小看自己的密码安全,因为你可能会危及到别人的账号安全。

5.解决办法

一系列修改密码,查找漏洞操作后,我们开始痛定思痛。

5.1 加强安全意识

自己不注意安全,被盗号之类的那就是no zuo no die啦(说的就是我关于密码安全:一次惨痛的教训 )。要想知道自己的密码是否已经被人泄露了,建议搜索下自己常用的用户名,如果有结果出来,恭喜你被泄露了,赶紧改密码去吧,还有不要以为泄露的密码是有md5加密的就没事了,网上有一个传说中的大数据库,用于很多md5的结果搜索一下出来就能知道你的明文是什么了。不要盲信网站论坛等宣传的安全手段,真的不太安全

5.2 借用工具生成、保存密码

见的密码什么生日啊,电话啊之类的都不算是特别安全的密码,那什么是安全的密码呢,就是你自己都记不住的随机串,完全猜不透,借用风太师叔的话“无招才能做到不被破招”,你自己都不知道规则那别人还怎么透过你的信息来猜测你的密码呢。其次不同的账号使用不一样的密码,确保做到就算一个网站沦陷了不会影响你其他账号,不要忽视,你的确有很多账号,很多你自己的想不到的熊孩子会帮你记起的。要做的这两点人脑是完成不了了。好在还有很多工具可以帮助我们,比如1Password,dashlane等。其中1Password是跨平台的,mac、pc、ios、android都有。dashlane是在线存储了,不放心,万一他要是挂了,那还不完全沦陷。下面就以1Password为例来一个简单的教程。

6.1Password

工具下载安装就不说了,搜索一下你就知道。1Password是付费软件,至于破解么,我不说你也懂的(支付付费软件保证软件行业健康发展)。Mac版界面如下:

关于密码安全:一次惨痛的教训

话说大妈,在Safari下上传图片插件错误是什么鬼?

简洁清楚,就不再赘述了。

要想方便的使用还得安装一个浏览器客户端,你也不想每次登陆账号总要打开软件,复制一下密码,然后粘贴,会死人的好伐。安装步骤也简单,搜索一下你就知道。打开后是这样:

关于密码安全:一次惨痛的教训

没错,注册账号的时候就选择密码生成器,他会根据你指定的长度生成这样类似的密码:cPxA9m[DUiVTh>)rbQ*i4eQ% , 这都是什么鬼,相信这样的密码应该是强密码了吧。不用担心你记不住,使用浏览器插件以后,1Password会提示你是否保存,以后他就记住了,当你在网站登陆的时候使用```Command+```(没错这是mac上的,windows上的还需各位看官自己尝试了)1Password会帮你自动填入的。

最后别忘了给手机上装一个。

7.结束

不说了,老板叫我去修复服务器了。祝密码安全,远离侧漏~(呃,泄露)关于密码安全:一次惨痛的教训

小编注:感谢楼主的分享,对于经常在网上“剁手”的值友们,请注意密码安全。

展开 收起
160评论

  • 精彩
  • 最新
  • 以前玩WOW的时候找代练,代练完一个账号改一次密码。某一次大意了,以为一直找的代练靠谱,就没改。某天登陆发现账号被洗劫一口。金币400万是小事,我之前的宠物宝宝差不多200个都没了,买的时候差不多3000RMB。还以为就这样了。上战网恢复,发现盗号的居然提交了修改战网邮箱的申请。再下去发现163邮箱的密码也被改了,要命的是前一个礼拜正好网申台湾签证 正好邮件发给旅行社,盗号的连我的所有资料表格 身份证复印件 护照复印件全都有了。瞬间抓狂了。开始了与盗号前后长达一个半月的斗争。各位千万别大意,引以为戒。

    校验提示文案

    提交
    详细说说呗。

    校验提示文案

    提交
    牛*!写篇文章吧

    校验提示文案

    提交
    还有15条回复
    收起所有回复
  • 高潮怎么来的也不说,差评。

    校验提示文案

    提交
    高潮就是弄得我晕头转向,实在无语

    校验提示文案

    提交
    收起所有回复
  • 换电脑咋办? 手机用1password 电脑怕怕啊

    校验提示文案

    提交
    1password可以备份,换电脑可以恢复

    校验提示文案

    提交
    1password单机版太贵了,只有家庭版比较合算。iOS 免费的时候自己安装了个,一直都没用。

    校验提示文案

    提交
    收起所有回复
  • 万一哪天1password被墙了。。

    校验提示文案

    提交
    1Password本地保存!嘿嘿

    校验提示文案

    提交
    收起所有回复
  • 楼主,手机端很多App不支持1Password怎么解决呀?一个个复制吗?

    校验提示文案

    提交
    App是没有太好的办法,不过大多数app都支持保存密码,保存后就没关系了。网页端1password是比较方便的。

    校验提示文案

    提交
    收起所有回复
  • 163的申诉不是一般的恶心大学时注册的号忘了密码死活搞不回来

    校验提示文案

    提交
    顶一个!
    申诉几次都不成功

    校验提示文案

    提交
    收起所有回复
  • 我背下了古文观止的几篇文章,随便找了几句话的拼音首字母,平声的小写,仄声大写,数字换成阿拉伯数字,估计没人猜得到我的密码。

    校验提示文案

    提交
  • 这写的就是楼主密码被盗了,然后公司出密码问题了,然后推荐1password,然后就没有然后了。。。

    校验提示文案

    提交
    总结的好精辟!

    校验提示文案

    提交
    收起所有回复
  • 当年密码泄露那会儿推上好多段子,印象最深的是 ppnn13%dkstFeb.1st, 翻译过来就是娉娉袅袅十三余,豆蔻梢头二月初。。#最文艺

    校验提示文案

    提交
  • 用惯了Safari自带的记账号密码功能,然后发现在别的地方登陆的时候居然连用户名都记不起来了 [喜极而泣] [喜极而泣] [喜极而泣]

    校验提示文案

    提交
    自从有了灰机,车车不会开了! [邪恶]

    校验提示文案

    提交
    收起所有回复
  • 早就用lastpass了,高级版有安卓和ios客户端,浏览器插件也很实用。

    校验提示文案

    提交
  • 我是自己牢牢记住3套变态密码,然后作为word的,rar的,zip的3个解压密码
    只有其他所有账号密码都塞进一个word文件里面,这个文件电脑里一份,手机里一份,网盘里一份

    校验提示文案

    提交
    word、zip、rar的密码都可以直接清除啊!好像加密方式本身就不严。

    校验提示文案

    提交
    rar不行的,只能爆破,变态密码如果够长应该没事

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 我买了lastpass

    校验提示文案

    提交
  • 设置一个有数字字母符号的密码,然后按照一些规律往里面加shift

    校验提示文案

    提交
    这样的密码强度够了,唯一问题就是手机上输的时候就蛋疼了……

    校验提示文案

    提交
    收起所有回复
  • 一直在用1password 前段时间限免的时候搞的 [傻笑]

    校验提示文案

    提交
  • 一直在用这个软件,怎么说呢,好用吧其实挺好用,主要是想在手机或是别的电脑上登录时,手打那个复杂的密码会疯掉的,可能LZ要说了。手机可以下啊,然后同步,试过了。同步可以选多个服务器,一个国内用不了。苹果云同步了,还是不好用。所以,还是老老实实的自己编个易打且能记住的把,这个也就能当个辅助软件。别认真,认真你就输了。。。。。

    校验提示文案

    提交
    这软件在iPhone和Mac下用icloud同步不好用吗?我正准备用1Password。

    校验提示文案

    提交
    偶尔需要在别的电脑上登录你就疯了

    校验提示文案

    提交
    还有3条回复
    收起所有回复
  • 还是纸质的记下来有用。。。话说曾经做过不大不小的手术,术后休息了一个月才上班,上班第一天愣是想不起开机密码。。。

    校验提示文案

    提交
  • 一直用lastpass 每月1美元很爽

    校验提示文案

    提交
    咦 有这么便宜吗.. 同lastpass付费版路过.

    校验提示文案

    提交
    官方直接买不是68元么?每月1美元差不多呀。之前有过18元半年的淘宝品,我用过半年,上个月又直接买了一年。

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • KeePass用户路过

    校验提示文案

    提交
  • 我在想如果你电脑挂了怎么办,或者出门在外用别人的电脑上网需要帐号登录怎么办?

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章

galilio

Ta还没有介绍自己

关注 打赏
相关好价
最新文章 热门文章
625
扫一下,分享更方便,购买更轻松