论文部分内容阅读
“娉娉袅袅十三余,豆蔻梢头二月初;春风十里扬州路,卷上珠帘总不如。”这是唐代大诗人杜牧(公元803~约852年)写的一首诗,名为《赠别》。写这首《赠别》时,诗人杜牧在失意之中,正要离开扬州,此诗是送给一位相好的歌伎的。以这么文艺的腔调开头,不是要探讨一个文学话题,而是一个看上去非常枯燥古板的网络安全问题。
闭门家中坐,祸从天上来
2011年年末,“聘聘袅袅十三余,豆蔻梢头二月初”两句诗开始在网络上流行。尽管这是唐诗中的名句,但直到2011年末之前,恐怕一般也很少有人知道。这两句诗很美,但流行的原因却让人感到不安,不是诗歌演唱会,也不是文学大赛,而是关于一个非常科技、听上去非常古板的一个原因:CSDN(一个大型的技术社区网站)600万用户的密码泄露。引出这两句诗的是其中的一个密码:“ppnn13%dkstfeb.1st”,密码与诗的具体关联,大家试着按照诗句的开头字母去比对一下。
这让人想起了一幅骷髅与美女的画面,网络安全的忧患隐藏在美丽的画皮之下。
以前,我们经常听到QQ密码、邮箱密码甚至银行密码失窃的事件,原因大多是因为上网的人不小心,在一些小网站下载并运行了带病毒的程序。许多网站和软件都会有类似的提示:“请不要安装使用来历不明的软件”,也就是说,密码泄露等问题通常是因为个人操作不当引起的。
这一次跟通常的情况不同,许多几个月甚至几年没有登录CSDN网站的人,当他从新闻得知CSDN密码泄露消息之后,顺着信息一查,发现自己的用户名、密码也在长长的列表之中,真是“闭门不出屋,祸从天上来”。打个比方,如果把以前密码遗失比作自己不小心把家门钥匙弄丢了让小偷进到了屋里,这次,是物业公司将整栋楼的钥匙弄丢了。而且,这还是一家有一定知名度的“物业公司”,是一家技术社区网站。
对于用户来说,以前担心钱放在家里不安全便放到银行里去保存,因为银行有专门的手段来保障安全。而现在真实的情况是:银行的保险柜变得比自己家里还不安全。互联网用户正面临一个可怕的局面:即便没有任何过错,你也可能随时成为网络安全的受害者。
安全危机的多米诺骨牌
如果只有CSDN爆出密码泄露,大家讨伐的对象将会是一家聚集了中国最多IT技术人员而出了技术问题的互联网公司,显然,在那个传说中末日之年来临之前,后续的故事完全超出了人们的预料。
2011年12月21日CSDN事件爆发之后不到10天时间,密码泄露事故像瘟疫一样迅速扩散,传说中泄密的网站排成一张长长的表单:12月22日游戏网站多玩网,800万用户数据;25日号称“最有影响力华人论坛”的天涯社区,4000万用户数据,接着51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网…一个个相继出现在表单中,甚至支付宝、当当网以及京东商城类的电商网站也悉数加入其中,到29日,交通银行、民生银行,也爆出密码泄露传闻,在银行也卷入涉嫌泄密名单之后,泄密事件进入高潮。
相比于追究一家公司的网络安全措施失当,搞清楚安全事故为什么会集中爆发显得更加迫切,从各种渠道流出的信息来看,此次密码泄露事故有一个共同的特点:网站对用户名与密码采用的是明码存储。也就是说,你的密码如果是“12345”,那么网站存储的也是“12345”,对技术不太了解的人可能觉得没有问题。事实上,一个安全的网站,不仅仅不让第三者看到用户的密码数据,就是看到了存在网站服务器上的密码数据,也同样无法知道用户的密码,也就是说,保存在服务器上的与真实的密码不一样,这就是所谓的密码加密技术。
众多网站都采取明码而不是加密方式保存密码,凸现了互联网行业的整体安全意识淡薄。一旦缺口被打破,相应的风险就会接踵而来。也就是说,我们许多人并没有意识到,自己处在一个安全度并不高的互联网环境下。
如果在十年前,密码泄露带来的危害要小得多,那时候,互联网服务还只停留在信息服务的初级阶段,人们使用互联网的程度并不深,而现在,不仅仅各种个人隐私信息都在互联网上,甚至直接的银行存取款都在互联网上操作,密码泄露甚至比居家的钥匙丢失都会带来更大的损失。
也正是因为获得他人网络密码更加有利可图,窃取网络密码的事儿也就越来越多。
CSDN密码泄露事件像炸弹一样爆在了2011年末,互联网安全遭受如此大的风浪,现在,又有谁能够离得开互联网呢?谁又能幸免呢?许多人惊呼,2012如果不是人类的末日,那肯定是网络安全的末日。
比你想象的更危险
即便许多网络公司相继在密码泄露事件中沦陷,对于广大的互联网用户来说,直接的伤害比例还是比较低的,与数千万泄密数据相比,互联网账户有数十亿(单个用户常常有多个账号),看上去问题似乎并不大。
但是,进一步的分析表明,问题要比想象的严重很多。
一般人设置用户名和密码,常常采用生日、纪念日、电话号码等熟悉的内容,用户名也相对比较固定,这常常意味着,如果在甲网站上的用户名和密码被泄露,尽管乙网站并没有把用户名、密码泄露,但由于用户的使用习惯,乙网站上用户注册的用户名和密码在很大程度上可能与甲网站是相同的,也就是说,采用了相同用户名、密码的人,只要丢失一个网站的用户名、密码,它在其他网站上的数据信息也会失窃。
如果我们再算上虽然在甲、乙网站上设置了不同的用户名密码,但是考虑到用户变更用户名、密码非常有规律的情况,用户数据安全的危险性会进一步放大。比如:一个叫张小山的人,出生于1981年12月30日,他在甲网站上的用户名是zhangxiaoshan,密码是:811230,他在乙网站上使用xiaoshanzhang作为用户名的可能性极高,他采用123081作为密码的可能性也极高。
不止这些,在一个名为“CSDN杯我最喜爱的CSDN密码评选”的文章中,作者统计了CSDN中采用常见密码,发现“123456789”被23.5万人采用,而“12345678”被21.3万采用,两项的数字和,相当于600万泄密用户的近十分之一,这就是说,你只要用这些顺序的数据去作为密码,你差不多有十分之一的可能性倾入用户账户。再加上“000000000”、“111111111”、“123123123”等类似的密码,用户在互联网上密码被泄露的可能性非常之高!
有人可能抱有侥幸心理,虽然自己的密码可能被别人猜到,但是谁会有那么闲工夫去挨个去试验呢?那我告诉你,有密码窃取程序,密码窃取程序能够利用常用的密码挨个试验去登录各个网站,破解用户的登录信息,如果密码窃取程序获得了某个网站的用户数据,比如这次的CSDN的用户名、密码数据,那么程序便能够轻而易举地获得大量其他网站的用户数据。
看住自己的数字资产
看来网络安全形势非常严峻,但是,光担心是没有用的,从这一刻起,开始学会保护自己的网络“钥匙”。
在网站注册的时候,密码不要单独采用字母或者数字的形式,而要采取字母数字混合的形式,甚至加入一些特殊字符,比如:@、$、*等,这样密码被猜到的可能性就大幅降低。不同的网站上,不要采取相同的密码,在银行(和电子商务)和普通信息类的网站上,最好采用不同的用户名,这样,在信息类网站用户信息失窃的情况下,能够保证有财务信息的网站数据安全。
当然,还有更加安全的方式来保护密码安全,比如:采用网站域名与自己固定数字(比如生日)交叉计算的方式获得一个新的密码,这样就能在不同网站得到不同的密码,而且只需要记住一串数字即可。除了自己采取一些办法,也可以借助一些专业安全公司的产品,比如:口令纸、电子密码生成器之类的产品。
除了上面提到的技术性手段,更重要的是要养成更好的网络使用习惯。对网络不熟悉的网民,不要轻易在不了解的网站上去下载、安装程序,不要在一个网站上使用另一个网站的用户名、密码登录,不要在网络微博、留言、评论、电子邮件甚至发布的文章中吐露自己的个人敏感信息,包括用户名、密码、电话号码、银行账号、生日等信息。
还有一点能够提高安全性,记得周期性更改自己的网络密码,当然,这一点比较难。
“娉娉袅袅十三余,豆蔻梢头二月初;春风十里扬州路,卷上珠帘总不如”,当互联网让生活变得越来越文艺之时,我们要知道,风险其实一直在身边,当财富日益数字化时,请看护住自己的数字资产。
编辑/冯 岚 icarusfeng@126.com
闭门家中坐,祸从天上来
2011年年末,“聘聘袅袅十三余,豆蔻梢头二月初”两句诗开始在网络上流行。尽管这是唐诗中的名句,但直到2011年末之前,恐怕一般也很少有人知道。这两句诗很美,但流行的原因却让人感到不安,不是诗歌演唱会,也不是文学大赛,而是关于一个非常科技、听上去非常古板的一个原因:CSDN(一个大型的技术社区网站)600万用户的密码泄露。引出这两句诗的是其中的一个密码:“ppnn13%dkstfeb.1st”,密码与诗的具体关联,大家试着按照诗句的开头字母去比对一下。
这让人想起了一幅骷髅与美女的画面,网络安全的忧患隐藏在美丽的画皮之下。
以前,我们经常听到QQ密码、邮箱密码甚至银行密码失窃的事件,原因大多是因为上网的人不小心,在一些小网站下载并运行了带病毒的程序。许多网站和软件都会有类似的提示:“请不要安装使用来历不明的软件”,也就是说,密码泄露等问题通常是因为个人操作不当引起的。
这一次跟通常的情况不同,许多几个月甚至几年没有登录CSDN网站的人,当他从新闻得知CSDN密码泄露消息之后,顺着信息一查,发现自己的用户名、密码也在长长的列表之中,真是“闭门不出屋,祸从天上来”。打个比方,如果把以前密码遗失比作自己不小心把家门钥匙弄丢了让小偷进到了屋里,这次,是物业公司将整栋楼的钥匙弄丢了。而且,这还是一家有一定知名度的“物业公司”,是一家技术社区网站。
对于用户来说,以前担心钱放在家里不安全便放到银行里去保存,因为银行有专门的手段来保障安全。而现在真实的情况是:银行的保险柜变得比自己家里还不安全。互联网用户正面临一个可怕的局面:即便没有任何过错,你也可能随时成为网络安全的受害者。
安全危机的多米诺骨牌
如果只有CSDN爆出密码泄露,大家讨伐的对象将会是一家聚集了中国最多IT技术人员而出了技术问题的互联网公司,显然,在那个传说中末日之年来临之前,后续的故事完全超出了人们的预料。
2011年12月21日CSDN事件爆发之后不到10天时间,密码泄露事故像瘟疫一样迅速扩散,传说中泄密的网站排成一张长长的表单:12月22日游戏网站多玩网,800万用户数据;25日号称“最有影响力华人论坛”的天涯社区,4000万用户数据,接着51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网…一个个相继出现在表单中,甚至支付宝、当当网以及京东商城类的电商网站也悉数加入其中,到29日,交通银行、民生银行,也爆出密码泄露传闻,在银行也卷入涉嫌泄密名单之后,泄密事件进入高潮。
相比于追究一家公司的网络安全措施失当,搞清楚安全事故为什么会集中爆发显得更加迫切,从各种渠道流出的信息来看,此次密码泄露事故有一个共同的特点:网站对用户名与密码采用的是明码存储。也就是说,你的密码如果是“12345”,那么网站存储的也是“12345”,对技术不太了解的人可能觉得没有问题。事实上,一个安全的网站,不仅仅不让第三者看到用户的密码数据,就是看到了存在网站服务器上的密码数据,也同样无法知道用户的密码,也就是说,保存在服务器上的与真实的密码不一样,这就是所谓的密码加密技术。
众多网站都采取明码而不是加密方式保存密码,凸现了互联网行业的整体安全意识淡薄。一旦缺口被打破,相应的风险就会接踵而来。也就是说,我们许多人并没有意识到,自己处在一个安全度并不高的互联网环境下。
如果在十年前,密码泄露带来的危害要小得多,那时候,互联网服务还只停留在信息服务的初级阶段,人们使用互联网的程度并不深,而现在,不仅仅各种个人隐私信息都在互联网上,甚至直接的银行存取款都在互联网上操作,密码泄露甚至比居家的钥匙丢失都会带来更大的损失。
也正是因为获得他人网络密码更加有利可图,窃取网络密码的事儿也就越来越多。
CSDN密码泄露事件像炸弹一样爆在了2011年末,互联网安全遭受如此大的风浪,现在,又有谁能够离得开互联网呢?谁又能幸免呢?许多人惊呼,2012如果不是人类的末日,那肯定是网络安全的末日。
比你想象的更危险
即便许多网络公司相继在密码泄露事件中沦陷,对于广大的互联网用户来说,直接的伤害比例还是比较低的,与数千万泄密数据相比,互联网账户有数十亿(单个用户常常有多个账号),看上去问题似乎并不大。
但是,进一步的分析表明,问题要比想象的严重很多。
一般人设置用户名和密码,常常采用生日、纪念日、电话号码等熟悉的内容,用户名也相对比较固定,这常常意味着,如果在甲网站上的用户名和密码被泄露,尽管乙网站并没有把用户名、密码泄露,但由于用户的使用习惯,乙网站上用户注册的用户名和密码在很大程度上可能与甲网站是相同的,也就是说,采用了相同用户名、密码的人,只要丢失一个网站的用户名、密码,它在其他网站上的数据信息也会失窃。
如果我们再算上虽然在甲、乙网站上设置了不同的用户名密码,但是考虑到用户变更用户名、密码非常有规律的情况,用户数据安全的危险性会进一步放大。比如:一个叫张小山的人,出生于1981年12月30日,他在甲网站上的用户名是zhangxiaoshan,密码是:811230,他在乙网站上使用xiaoshanzhang作为用户名的可能性极高,他采用123081作为密码的可能性也极高。
不止这些,在一个名为“CSDN杯我最喜爱的CSDN密码评选”的文章中,作者统计了CSDN中采用常见密码,发现“123456789”被23.5万人采用,而“12345678”被21.3万采用,两项的数字和,相当于600万泄密用户的近十分之一,这就是说,你只要用这些顺序的数据去作为密码,你差不多有十分之一的可能性倾入用户账户。再加上“000000000”、“111111111”、“123123123”等类似的密码,用户在互联网上密码被泄露的可能性非常之高!
有人可能抱有侥幸心理,虽然自己的密码可能被别人猜到,但是谁会有那么闲工夫去挨个去试验呢?那我告诉你,有密码窃取程序,密码窃取程序能够利用常用的密码挨个试验去登录各个网站,破解用户的登录信息,如果密码窃取程序获得了某个网站的用户数据,比如这次的CSDN的用户名、密码数据,那么程序便能够轻而易举地获得大量其他网站的用户数据。
看住自己的数字资产
看来网络安全形势非常严峻,但是,光担心是没有用的,从这一刻起,开始学会保护自己的网络“钥匙”。
在网站注册的时候,密码不要单独采用字母或者数字的形式,而要采取字母数字混合的形式,甚至加入一些特殊字符,比如:@、$、*等,这样密码被猜到的可能性就大幅降低。不同的网站上,不要采取相同的密码,在银行(和电子商务)和普通信息类的网站上,最好采用不同的用户名,这样,在信息类网站用户信息失窃的情况下,能够保证有财务信息的网站数据安全。
当然,还有更加安全的方式来保护密码安全,比如:采用网站域名与自己固定数字(比如生日)交叉计算的方式获得一个新的密码,这样就能在不同网站得到不同的密码,而且只需要记住一串数字即可。除了自己采取一些办法,也可以借助一些专业安全公司的产品,比如:口令纸、电子密码生成器之类的产品。
除了上面提到的技术性手段,更重要的是要养成更好的网络使用习惯。对网络不熟悉的网民,不要轻易在不了解的网站上去下载、安装程序,不要在一个网站上使用另一个网站的用户名、密码登录,不要在网络微博、留言、评论、电子邮件甚至发布的文章中吐露自己的个人敏感信息,包括用户名、密码、电话号码、银行账号、生日等信息。
还有一点能够提高安全性,记得周期性更改自己的网络密码,当然,这一点比较难。
“娉娉袅袅十三余,豆蔻梢头二月初;春风十里扬州路,卷上珠帘总不如”,当互联网让生活变得越来越文艺之时,我们要知道,风险其实一直在身边,当财富日益数字化时,请看护住自己的数字资产。
编辑/冯 岚 icarusfeng@126.com