网络账号是如何被盗走的?程序员做了什么?
据中央广播电视总台中国之声《新闻超链接》报道,在网络时代,信息安全越来越受到重视和关注。近期,某位演员称自己在某问答平台账号被盗一事就引起热议。这片盗号的疑云,还从涉事平台飘到了其账号关联的邮箱平台头上。
第45次中国互联网络发展状况统计报告数据显示,截至今年3月,有12.5%的受访网民表示在过去半年上网过程中遭遇账号或密码被盗。
网络账号到底可能通过哪些方式被盗?哪些行为让我们的网络账号更危险?相应地,要如何提升自己密码、账号的安全性?各平台的程序员们会为守护用户的账号做什么?
网络账号是如何被盗走的?
盗号疑云从一个平台飘向另一个平台。
网络账号真的容易被盗吗?
我们先看看网络账号可能是如何被盗走的?
如果我们设置了“123456”这样的密码,可能也不用思考这个问题了。
这类密码可以说是让采取“暴力破解”方式的盗号者不费吹灰之力,就推开了我们虚掩的网络账号大门。
在得到用户账号名或手机号码等信息后,盗号者就可以开始“撞大运”用一些常用密码或靠密码字典去批量“撞”一批账号。
密码位数越多,数字、大小写字母、符号等包含的元素变化越多,越难被遍历穷尽,被“撞”对的几率也就越小,密码越没有意义、没有规律就越难被破解。
阿里安全高级安全专家永良还表示:“像123456或者‘I love you’,或者其他一些有意义的字符串,这种被暴力破解的成功概率还是较大的。无意义的字符串,长度越长的,被破解的难度越大。基本上,10位以上的我觉得对于盗号者来说难度就已经非常大了。”
那么,当我们手握一组自己都可能不小心会记错的复杂密码,网络账号们是不是就安全了呢?请注意这里所用的复数——网络账号们。
在保障网络账号安全上,“一招鲜,吃遍天”行不通。因为一旦这个密码在安全性比较差的平台被泄露后,用着同样用户名和密码的其他平台的账号可能也会被盗号。这就要说到“撞库”和“刷库”了。
永良介绍,用这样的方式,黑客就要前提先有一批账户密码列表。这可能是通过“钓鱼”得到的,也可能是前期有人黑掉了一些网站,就把其数据库拿出来,供随意下载或在暗网贩卖。
这样一来,如果某账户已经在某些社工库里,或者因为某些网站安全性较低而泄露了账户密码,又在其他平台使用了同样的账号密码,那么,盗号者就可能直接用已经获得的信息,攻破新的平台。
都说“狡兔三窟”,精明的网络用户也要多准备一些密码组合。
此外,“钓鱼链接”也是比较常见的一种盗号方式。
它就像拿着原版钥匙去配钥匙一样,能够直接获取用户的账号和密码。
钓鱼链接诱导进入一个假冒的网站,让用户“认错人”,从而套取到用户账号信息。
平台如何对抗盗号?
各大平台的程序员们有什么“大招儿”来守护自家用户的账号呢?
阿里安全高级安全专家永良表示,这既考验平台的安全建设也检验运营中识别攻击等能力:“像阿里现在是基于新一代安全架构进行防护,怎么能在系统最初建设的时候就把安全能力、安全组件就融入进去。另一个就是安全运营。比如说,同一个IP有大量的请求过来去刷账户和密码,做登录的请求。这种其实在去做的是机器流量的识别,怎么能够在风控算法这个角度来去判断它是不是在一定的安全环境,这一次请求是本人的请求还是一些恶意的请求?账号会不会被别人盗取,更多地还是在看平台怎么去做账户保护。”
如何证明我是我?
安全程序员要怎么去做账户保护呢?本质就是去识别这一次来登陆的人是不是账号所有者本人。
程序员们如何来判断到底是不是用户本人在操作?
输对用户名和密码只是一项基础考察。
永良介绍,密码是一个最基础的信息,是一个单因子,平台能够做的其实是多因子认证,像手机短信验证码,绑定身份证号码,设置安全问题等等,用更多的因素叠加起来去判断。
但是,在提供其他个人信息去证明自己身份的时候,用户可能也会担心,如果我这个账号被盗了,盗号的人是不是也就直接掌握了我的其他信息呢?一丢丢一串,会这样吗?
永良表示,从系统设计角度来看,拿到账户权限和能不能拿到这些绑定的基础信息是两回事。大部分网站会做一些模糊化的处理,比如,只能看到身份证号的前几位和后几位,中间是被模糊处理掉,是看不到的。
最后,还有一个地方可能会被普通用户忽略,那就是所使用的网络本身。
专家提醒,尽可能不要去用公共WiFi或者一些不安全的网络,因为它可能去做一些流量劫持,有可能会把一些重要的账号密码,甚至cookie都拿走。这取决于会不会有人在 WiFi上做手脚,或者说,有没有攻击者获得了对应的权限。有没有这个风险,个人用户是没法判断的。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
钓鱼攻击调查:谁最容易上钩?
去年上半年,全球泄露了41亿条数据记录,而检测泄漏所需的平均时间为206天。据估计,数据泄露给企业造成的平均损失为386万美元,而网络攻击将在明年在全球造成5万亿美元的损失。 钓鱼攻击,是数据泄露的主要原因之一,因为网络攻击变得越来越有针对性,成功的网络攻击中有90%是通过电子邮件发起的。这些网络钓鱼攻击使用欺骗性和欺诈性的社会工程技术,往往能绕过各种安全机制和控制措施。 那么,哪些行业和部门更容易遭受钓鱼攻击呢?近日,Keepnet Labs对过去一年间41万份网络钓鱼电子邮件数据的进行统计,揭示了最容易受到网络钓鱼攻击的部门和行业。亮点信息如下: 半数员工会点击网络钓鱼邮件 根据该报告,电子邮件钓鱼攻击的“打开率”、“点击率”(点击恶意链接或者附件)和“转化率”(泄露信息)都高得惊人: 每2名员工中就有1名打开并阅读网络钓鱼电子邮件。 每3名员工中就有1个点击钓鱼电子邮件中的链接或打开文件附件(这可能会导致静默安装恶意软件/勒索软件)。 每8名员工中就有1名向攻击者泄露网络钓鱼电子邮件中要求的信息。 恶意链接点击率最高的前5个行业 咨询(63%) 服装和配件(48%) 教育(47%...
- 下一篇
一场“口误”背后,几亿人的信息安全如何保障?
李开复一次演讲的“口误”,把蚂蚁集团、美图、旷视科技三家企业推至风口浪尖,个人信息安全问题再次成为讨论焦点。 互联网社会,信息安全是个敏感词。这件事,Facebook深有感触。 虽然,蚂蚁集团和旷视科技均发布消息对此否认,李开复也对其“口误”进行道歉。但这场风波背后的信息安全保障问题不容忽视。 “口误”风波 创新工场董事长兼CEO李开复在公开活动发表演讲时表示,曾在早期帮助旷视科技公司找了包括美图和蚂蚁金服等合作伙伴,让他们拿到了大量的人脸数据,并在随后的摸索过程中找到了几个有价值的商业化方向。 背后的信息量实在太大,人脸数据居然可以共享? 涉事企业敏锐的感受到了问题所在。 当天,蚂蚁集团和旷视科技相继官方发文否认。 蚂蚁集团回应称,蚂蚁集团在与旷视科技合作事宜上从未与李开复先生有过接触,蚂蚁集团从未提供任何人脸数据给旷视科技。 旷视科技称,旷视不掌握,也不会主动收集终端用户的任何个人信息,且一直高度重视“数据隐私安全保护”问题,并已在企业内部制定、实施了完善的数据隐私保护制度。李开复亦在微博致歉称这是一次“口误”。 △截图来自新浪微博客户端 即便如此,仍有多数网友不买账,认为互联网企...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Red5直播服务器,属于Java语言的直播服务器
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装