您现在的位置:主页 > 安全新闻 > 安全播报 >
UCC证书实现多域名支持,微软产品首家推荐Entrust。UCC证书保护企业多个域名及其子域名、IP地址、服务器,协助您大幅节省时间、管理成本,强化网站信息安全管理的效率。

大胆网站公然叫卖咱的密码 
专家:多个地方使用同一个密码导致被盗 网友应经常更改密码

一个自称是国内最全、每日更新300兆的社工库网站,公开出售自己所拥有的互联网用户的账号和密码,这一幕赫然出现在了互联网世界之中。这个网站称自己拥有“300亿彩虹库”,“所有的密文都可以瞬时被破解”。在其主页上,记者看到网站的标语是“亲这儿找不到,您只能入侵脑细胞了。”

神秘的“社工库”网站:个人账号密码可随时查询

买卖用户账号和密码,一直以来都在地下秘密流通,不过,社工库网站却公开在互联网上做起了生意。为证明自己是国内掌握用户账号密码最多最全的网站,招揽生意,这个网站专门提供一种测试自己的账号和密码是否被盗的服务。

在网站的查询栏里输入自己的邮箱地址,然后按“查询”,就可以测试密码是否被盗。本报记者也使用了的邮箱账号进行查询,赫然发现不仅自己的邮箱密码被盗,连很久之前使用过的论坛账号也未能幸免。

有网友表示,自己在输入“126”邮箱账号进行查询之后,然后用网站反馈的检索码进行检索,发现邮箱账号已经在页面上显现出来——说明已经被盗了!通过多次测试,证明了这家网站的广告所言非虚。

有网络安全工作人员担心,因为这个网站是开放的,谁都可以进行查询,所以个人信息,很容易通过这个网站泄露。

社工库网站的主要业务,就是销售自己掌握的他人的账号和密码信息,而且公开兜售,只要给钱就卖。记者通过QQ与社工库的负责人取得了联系,对方开价500元就可以买到100万条密码,包月是100元,包年则是1000元,包月和包年都能享受的服务是单次查询账号和密码。当记者对账号和密码的真实性提出质疑时,对方却回答,爱信不信,很多人都在买。

有网络界人士称,以往这种交易都是隐蔽进行,直接公开叫卖的这还是第一起。

密码为何被盗:

一个密码走遍网络

那些人盗取他人账号和密码,究竟意欲何为?有业内人士分析,他们盗取他人微博账号后发言,一是可以逃避自己发表非法言论的法律责任,二是利用微博名人的影响力,发放广告谋利。

记者从网络安全公司了解到,目前所有的微博账号都是用邮箱注册,而且绝大多数网民为了记忆方便,不论是在邮箱、微博、论坛还是其他一些账号中,都习惯性地使用了相同的密码,网络安全工程师表示,微博账号被他人窃取,并非都是黑客直接去破解微博账号,而是通过第三方途径获得的。

信息安全专家支招密码保护:勤换密码

信息安全专家支招如何保护网络密码,列举了以下方法:

措施一:使用复杂的密码。密码长度应该至少大于8位,密码中最好包含字母数字和符号。

措施二:在输入密码时,用鼠标选择相应的字母输入,这样就可以避免木马记录击键。

措施三:将密码保存在本地是个不好的习惯。如果本地没有一个很好的加密策略,那将让黑客破解密码大开方便之门。

措施四:实施定期更换密码,可每月或每季更换一次。永远不要将密码写在纸上。

措施五:于不同的网络系统使用不同的密码,对于重要的系统使用更为安全的密码。绝对不要所有系统使用同一个密码。

措施六:防范钓鱼网站的方法是,用户要提高警惕,不登录不熟悉的网站,不要打开陌生人的电子邮件。

措施七:使用USB Key。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取。

社工库如何得手:

可收购小网站套取的网友密码

对于社工库掌握了大量邮箱密码的情况,泡椒网创始人、网络专家洪志刚分析称,这一点在技术上完全可以做到。很多网友都有一个习惯,就是在很多地方都使用同一个密码。有很多网站在注册时,都需要用户提供邮箱地址和密码。一些不负责任的小网站可能会把这些密码信息记录下来后,卖出去牟利。

网友在网站输入密码时,看到输入的字母或是数字变成了小黑点,洪志刚称,这并不是密码加密,而是页面上的一种处理手段,以防旁人偷看。密码信息输入后会传输到后台的服务器上,如果这时的密码信息没有经过加密处理,后台的管理人员就可以看到密码。

人们使用网络银行时,输入的密码信息都是经过加密处理,后台人员无法查看,所以安全性较好。但一些仿冒银行网站的钓鱼网站,就是想通过这种手法获取用户账号和密码信息。

洪志刚称,还有一些不法人员会采用一些技术手段去破解网友的密码,如果密码设置太简单也很容易被破译出来。

信息安全形势严峻

近两年,国内频频出现黑客入侵大型网站和数据库,盗取用户资料的情况。网络安全工程师告诉记者,如果被盗用户没有更改密码,而且在邮箱和微博上使用同一个密码,那么用户的微博就等于向他人开放了。

Entrust信息安全专家分析,靠简单的用户名与口令认证、甚至只靠任何一种单一的身份认证手段,已不能保证通过认证的用户就是他本人,因此,由用户名和口令所建立的系统安全屏障几乎就只是摆设。这无异于将企业宝贵的信息资产置于了一种非常危险的境地。
针对企业信息资产的攻击、或犯罪事件近年来几乎成指数增长。值得企业相关管理人员引起高度重视。
对企业信息资产保护来说,身份认证往往是最为重要的一道屏障,必须切实加强。各组织机构必须寻找到一家能够提供行之有效的安全技术的平台方式的供应商。
扩展阅读:亿创恒安双因素身份认证解决方案
相关文章
.......................................................................................................
实现强制通过SSL访问网站
钓鱼网站每年卷走300亿元 密码被盗情况增长20%
千万网银木马盗窃案告破 敲响安全警钟


 

分享到: 更多
通配符证书SSL证书-标准版SSL证书-高级版代码签名证书UCC证书PDF签名证书EV证书邮件安全证书| 免费试用产品支持合作伙伴友情链接关于亿创恒安
联系电话:133129-22000 公司邮箱:support@etsec.com.cn
© 北京亿创恒安科技有限公司 版权所有www.etsec.com.cn 京ICP备10211985