“我通常将网站分为4级:一般网站(例如论坛等)、重要网站(和自己真实身份挂钩的网站)、常用邮件系统、交易网站。不同等级的网站使用不同复杂度的密码。”中国著名黑客、中国CAD/CAM协会会员徐小榕日前在做客开心访谈时给普通网友支招。
12月26日消息,继CSDN、人人、天涯等网站用户帐户信息相继泄露后,今天凌晨有网友爆出新浪微博用户资料也被泄露。数据显示,共有逾476万用户帐户和密码被泄露。对于网上流传的遭到泄露的kaixin.com的数据库,安天实验室技术发言人苗得雨在接受网友采访时澄清:遭到泄露的是kaixin.com的数据库,而非是kaixin001的。因为kaixin.com用的与人人是一套程序,因此人人泄露了,kaixin.com自然也难免。”
如何才能确保用户资料不被黑客泄露,打好信息安全这一场没有硝烟的战争呢?上周末,开心网推出针对信息安全的开心访谈,请到两位著名安全专家安天实验室技术发言人苗得雨与中国著名黑客、中国CAD/CAM协会会员、高级程序员徐小榕,就信息安全的话题和开心网友做了深入的探讨和交流。
迄今为止,这次泄露究竟可能给用户带来什么危害?在开心访谈中,苗得雨称,这些丢失的数据中含有密码和注册邮箱。黑客很可能先去各个邮箱试一遍,看看是否有能够进入的邮箱,然后再看看邮箱中是否有有价值的信息。最后在去一些其他网站,例如淘宝,试验一下同样的用户名或密码能否登陆,然后……
徐小榕认为,攻击者可能会整理出有价值的账户,如VIP账户,借机扰乱网站秩序,传播虚假、欺诈信息,甚至直接进行网络诈骗等等。也可能利用社会工程学反查用户邮箱密码,进一步窃取用户隐私,假如用户的邮箱密码和网站注册密码相同,攻击者就会进入用户邮箱,对用户造成更深层次的危害。
因此,在徐小榕看来,网站注册密码和自己的邮箱密码最好不要设置成一样的,这样,即便黑客获知了用户名和密码,也不会对用户造成进一步的危害。他说自己通常将网站分为4级:一般网站(例如论坛等)、重要网站(和自己真实身份挂钩的网站)、常用邮件系统、交易网站。如果觉得不同网站不同密码太麻烦,可以设置几个常用密码,针对不同等级的网站使用不同复杂度的密码。
针对用户关心的如何设置密码的问题,苗得雨认为,对用户而言,最好通过数字、特殊字符和字母相结合的方式设置密码,这样密码更安全更可靠,不能使用诸如生日和电话号码等明显的信息作为密码。同时,网站方面也应该做好加密工作,例如通过MD5进行加密,确保密码安全,不能使用明文保存密码。