作为非安全专业人士,乱评一下最近的爆库事件

最近爆库事件频发,IT界人士虽然也很多人中招,但更多还是看热闹的。CSDN是技术站,IT男女们虽然看到自己的用户名密码泄露,但大多也知道及时修改其他网站的密码以免被社工。就算最不济的,至少也因为听说过爆库的事情而会考虑平时多用几个邮箱、帐号和密码。

我自己原本一直使用三套邮箱和密码在各处使用,前一阵子因为人人网被爆库,不少新浪微博帐号被社工,刚好看到fenng在微博上推荐keepass这个密码管理工具,试用了一下,感觉很顺手,就用了一个周末将自己主要登录网站的密码都修改了一轮。这个工具的好处是只需要记住一个masterpass,然后就可以每个站使用不同的密码;为了防止单点故障,以及方便在家中单位同时使用,用了绿色版的keepass+dropbox做同步,也还算方便。

但是使用下来也感觉,keepass这种工具,设计上还是太工程师了,实在不适合非IT人士使用。现在虽然有在线的LastPass服务,与keepass的功能类似,因为数据在线上,而且设计相对人性化的关系,用起来更加方便;但是既然是在线服务,其本身自然也存在被爆库的危险,安全性上打了个折扣。另外,让非IT业内的普通用户选择这种看似不可靠的平台保存自己重要的密码,就算LastPass的安全措施比在线银行还要更到位,普及上还是非常有难度。

那么,非IT业内的普通用户要如何保护自己的帐号安全?

因为我老妈也是重度互联网用户,所以也与她探讨过这个问题。老妈就是那种一个帐号+一个密码在各个网站注册的那种典型用户,我跟她说三套账户密码的方法,她听了就头大;不过,她有些习惯,个人感觉作为基础的防护也已经不错了:

1、银行、支付宝、淘宝等帐号的密码,一定跟平时网站用的是不一样的。

2、用于在各个网站注册所留下的邮箱密码,也跟网站的注册密码是不一样的。

为了避免忘记,老妈会把重要的密码记录在小本子上。虽然方法比较原始,但此法相对于keepass这种存在电脑里的密码,其实安全系数还相对更高一些。

老妈没什么常用的IM帐号,所以对IM帐号没啥特别防护。对于在QQ、MSN上比较活跃的用户,因为这种账户泄露容易造成诈骗事件,所以个人建议常上IM(或者微博这种比较有身份代表性的服务)的用户再加上一条:

3、用于QQ、MSN、微博的密码,也要跟网站的注册密码不一样。

对于普通用户而言,能做到这样应该也已经挺不容易了。

长远来看,密码这种方式肯定是要落伍的,其麻烦的本质决定了它的通用安全性高不到哪里去。像是人脸识别、指纹识别这种身份技术,未来用在银行系统,继而用在互联网之上,倒是很有可能。终端(可能是PC或移动设备,或者ATM机之类的)通过人脸识别确认用户的身份,服务器端(云端)再通过识别设备来获取用户的身份,这是一个相对合理的流程。

如果实名制互联网是这样实现,无论它是不是通往寂静之城的第一步,都还是有其积极意义的。

最近这轮的爆库事件,可能只是一个起点,它暴露了一个事实:使用了几十年的密码机制,已经无法满足现代互联网对安全性方面的要求。前方,是方便与安全的两难,是新兴的安全市场,同时也是从匿名到实名的互联网。

变革近在咫尺,互联网将往何处去?

Advertisements
This entry was posted in random and tagged , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s