从去年的CSDN、天涯社区等网站用户信息泄露事件,到近日的新浪爱问平台存在漏洞,新浪7000万用户密码泄露事件,密码泄露事件愈演愈烈,互联网用户密码安全问题已经严重困扰了每一个互联网用户。
刘谦现身说法见证新浪微博密码漏洞的时刻
事件起于2012年初。1月4日,一位从事信息与网络安全服务的网友“张百川”在微博中分享了一篇博文,名为《2012年新浪微博用户密码泄露漏洞》,内容是微博网名为“峙酿君edwardz”的网友在今年元旦发现了新浪的漏洞,漏洞的类型为sql注射,安全等级被划分为高。
“峙酿君edwardz”在文章开头声明,该漏洞发现后他已经第一时间联系了新浪得官方人员,目前该漏洞已经修补,而他所公布的内容也仅供大家参考与借鉴。文中称,新浪网iask存在sql注射漏洞,利用漏洞就可以读取数据库内容。文中还列出了漏洞利用方式,通过构造数据库查询语句获得用户信息。
为了更为直观,“峙酿君edwardz”更是向自己的偶像刘谦发出了“致敬”,直接用刘谦的微博做起了示范。在刘谦的微博中轻易获得用户数字ID后,通过构造就直接获得了刘谦的账号和密码。演示中,这位网友果然成功登录了刘谦微博,私信、聊天记录均可以轻易看到。
此文章在网络疯狂转载后,被测试的刘谦于1月4日21点34分和21点40分,连发两条微博进行了表示,“喂喂喂!!!!!太恐怖了吧!为什么拿我做示范!”“不.....不会换密码啦,惨了,秘密都被看光了(羞)”。面对刘谦的质疑,“峙酿君edwardz”也在微博中回应到:“因为很喜欢你”。
一览英才网专家提示如何防漏
密码是个人网络信息安全的钥匙,在网络发达,网上木马与病毒横行,密码泄露事件愈演愈烈的今天,密码安全问题成为了每一个互联网用户特别是职场中人的隐患。为此,一览英才网专家总结了以下几个密码防漏的技巧:
1.密码类型主要分为3类:8个字符以下的属于弱密码;8个字符以上有一定抗穷举能力的属于中密码;而不包含用户名、真实姓名或公司名称,也不包含完整的单词,并且同时包含了字母、数字、特殊符号在内的密码属于强密码。密码穷举破解工具对于弱密码非常有效,但是面对强密码的时候破解过程就会变得非常困难,破解者也往往会对长时间的穷举失去耐性。因此我们在设置密码的时候,尽量设置强密码,会更加安全一些。
2.强密码并不能完全防止密码被盗,像新浪爱问平台漏洞就不能靠强密码来防止。既然不能防止,我们就要最大程度降低被盗时的损失。一览英才网专家提醒每一位互联网用户:邮箱、网银、支付系统等重要密码一定不能相同。邮箱可以重置用户所有注册过的网站密码,因此绝对不要与别的网站密码相同,否则一旦别的网站密码被盗,极有可能牵引至邮箱;而网银、支付系统等涉及到用户的财产安全,更不能全部使用同一个密码,避免一个密码泄露而殃及到其他的账号。
3.定期修改密码。虽然身在职场上的我们也许非常忙碌,没有时间经常去修改密码,而且频繁的修改密码很有可能造成自己记不住密码的情况,但是一览英才网专家还是提醒每一个人,最好每个月修改一次密码。在修改密码时,我们可以将某些重要密码留些备份,以备忘记,当然,在备份时必须加些防范措施。