密碼泄露對(duì)您意味著什么

三家公司在過(guò)去的24小時(shí)里警告用戶，他們的客戶密碼似乎在互聯(lián)網(wǎng)上浮動(dòng)，包括在一個(gè)俄羅斯論壇上，黑客吹噓破解他們。 我懷疑更多的公司也會(huì)效仿。

好奇這對(duì)你意味著什么？ 繼續(xù)讀。

到底發(fā)生了什么？ 本周早些時(shí)候，在提供破解密碼工具的Inside Pro.com的俄羅斯黑客論壇上發(fā)現(xiàn)了一個(gè)文件，其中包含650萬(wàn)個(gè)密碼和150萬(wàn)個(gè)密碼。 根據(jù)論壇線程的截圖，使用“dwdm”的人已經(jīng)發(fā)布了原始列表，并要求其他人幫助破解密碼，該線程已經(jīng)離線。 密碼不是純文本的，而是被一種叫做“散列”的技術(shù)所掩蓋。 密碼中的字符串包括對(duì)Linked In和eHonomy的引用，因此安全專家懷疑他們來(lái)自這些網(wǎng)站，甚至在這些公司昨天確認(rèn)他們的用戶密碼被泄露之前。 今天，CNET的母公司CBS擁有的Last.fm也宣布，其網(wǎng)站上使用的密碼屬于泄密者。

出什么事了？ 受影響的公司沒(méi)有提供關(guān)于其用戶密碼如何落入惡意黑客手中的信息。 到目前為止，只有Linked In提供了它用于保護(hù)密碼的方法的任何細(xì)節(jié)。 Linked In說(shuō)，使用SHA-1散列算法，其網(wǎng)站上的密碼被模糊了。

如果密碼被散列了，為什么它們不安全？ 安全專家說(shuō)，Linked In的密碼散列也應(yīng)該被“鹽化”，使用的術(shù)語(yǔ)聽(tīng)起來(lái)更像是我們?cè)谡務(wù)撃戏脚腼儯皇敲艽a技術(shù)。 未加鹽的散列密碼仍然可以使用自動(dòng)暴力工具破解，該工具將明文密碼轉(zhuǎn)換為散列，然后檢查散列是否出現(xiàn)在密碼文件的任何地方。 因此，對(duì)于常見(jiàn)的密碼，如“12345”或“密碼”，黑客只需要破解一次代碼就可以解鎖所有使用相同密碼的帳戶的密碼。 Salting增加了另一層保護(hù)，在散列密碼之前將一串隨機(jī)字符包含在密碼中，這樣每個(gè)密碼都有一個(gè)唯一的散列。 這意味著黑客將不得不嘗試單獨(dú)破解每個(gè)用戶的密碼，即使有很多重復(fù)的密碼。 這增加了破解密碼的時(shí)間和精力。

該公司說(shuō)，Linked In的密碼已經(jīng)被修改過(guò)，但沒(méi)有加鹽。 從今天下午開(kāi)始，Linked In博客上的一篇文章說(shuō)，由于密碼泄露，公司現(xiàn)在正在對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)密碼的所有信息進(jìn)行銷售。 與此同時(shí)，last.fm和eHonomy尚未披露他們是否對(duì)網(wǎng)站上使用的密碼進(jìn)行了散列或加密。

為什么存儲(chǔ)客戶數(shù)據(jù)的公司不使用這些標(biāo)準(zhǔn)密碼技術(shù)？ 這是個(gè)好問(wèn)題。 我問(wèn)密碼學(xué)研究的總裁兼首席科學(xué)家保羅·科徹，是否存在經(jīng)濟(jì)或其他抑制因素，他說(shuō)：“沒(méi)有成本。 如果那樣的話，可能需要10分鐘的工程時(shí)間。” 他推測(cè)，實(shí)施這項(xiàng)計(jì)劃的工程師“不熟悉大多數(shù)人是如何做到的”。 我問(wèn)Linked In為什么他們以前沒(méi)有加鹽密碼，并被提到這兩個(gè)博客：這里和這里，這不回答問(wèn)題。

除了密碼學(xué)的不足，安全專家說(shuō)，這些公司應(yīng)該加強(qiáng)他們的網(wǎng)絡(luò)，以便黑客無(wú)法進(jìn)入。 這些公司尚未披露密碼是如何被泄露的，但鑒于所涉及的帳戶數(shù)量眾多，很可能有人闖入他們的服務(wù)器，可能是利用漏洞，并竊取數(shù)據(jù)，而不是由于一些成功的、大規(guī)模的釣魚(yú)攻擊。

我的用戶名也被偷了嗎？ 僅僅因?yàn)榕c密碼相關(guān)的用戶名沒(méi)有被發(fā)布到黑客論壇并不意味著它們也沒(méi)有被盜。 事實(shí)上，用戶名和密碼等賬戶數(shù)據(jù)通常存儲(chǔ)在一起，因此黑客很可能知道他們登錄受影響賬戶所需的一切。 Linked In不會(huì)說(shuō)用戶名是否被暴露，但會(huì)說(shuō)電子郵件地址和密碼被用來(lái)登錄帳戶，并且沒(méi)有發(fā)布與密碼相關(guān)的電子郵件登錄，他們知道。 此外，該公司表示，它沒(méi)有收到任何“經(jīng)核實(shí)的報(bào)告”，未經(jīng)授權(quán)訪問(wèn)任何成員的帳戶，因?yàn)檫`反。

我該怎么辦？ Linked In和EHonomy表示，他們已經(jīng)禁用了受影響帳戶上的密碼，并將跟進(jìn)一封電子郵件，其中包括重置密碼的說(shuō)明。 該公司表示，Linked In的電子郵件將不包括直接鏈接到該網(wǎng)站，因此用戶將不得不通過(guò)一個(gè)新的瀏覽器窗口訪問(wèn)該網(wǎng)站。 這是因?yàn)獒烎~(yú)電子郵件經(jīng)常在電子郵件中使用鏈接。 網(wǎng)絡(luò)釣魚(yú)騙子已經(jīng)在利用消費(fèi)者對(duì)密碼泄露的擔(dān)憂，并在看起來(lái)像是來(lái)自Linked In的電子郵件中向惡意網(wǎng)站發(fā)送鏈接。 last.fm敦促其所有用戶登錄網(wǎng)站并在設(shè)置頁(yè)面上更改密碼，并表示它永遠(yuǎn)不會(huì)發(fā)送帶有直接鏈接的電子郵件來(lái)更新設(shè)置或請(qǐng)求密碼。 就我個(gè)人而言，我建議您更改密碼，如果您使用任何已經(jīng)發(fā)出警告的網(wǎng)站，以防萬(wàn)一。 僅僅因?yàn)槟愕拿艽a不在泄露的名單上并不意味著它沒(méi)有被偷，安全專家懷疑這些名單沒(méi)有完成。

所以，你已經(jīng)在網(wǎng)站上更改了密碼，別放松。 如果您回收了密碼并將其用于其他帳戶，您也需要在那里更改它。 黑客知道，人們?yōu)榱朔奖愣诙鄠€(gè)網(wǎng)站上重復(fù)使用密碼。 因此，當(dāng)他們知道一個(gè)密碼時(shí)，他們可以很容易地檢查你是否在另一個(gè)更關(guān)鍵的網(wǎng)站上使用它，比如銀行網(wǎng)站。 如果您的密碼在另一個(gè)站點(diǎn)上遠(yuǎn)程相似，您應(yīng)該更改它。 不難發(fā)現(xiàn)，如果您使用“123Linked in”，您也可以使用“123Paypal”。 如果您對(duì)您的密碼是否被泄露感到好奇，密碼管理器提供者LastPass已經(jīng)創(chuàng)建了一個(gè)站點(diǎn)，您可以在該站點(diǎn)中鍵入密碼并查看它是否在泄露的密碼列表中。

我可以寫(xiě)一個(gè)很長(zhǎng)的故事，關(guān)于選擇強(qiáng)大的密碼（實(shí)際上，我已經(jīng)有了），但一些基本的技巧是選擇一個(gè)長(zhǎng)的，至少說(shuō)六個(gè)字符；避免字典單詞，選擇混合小寫(xiě)和大寫(xiě)字母、符號(hào)和數(shù)字；每隔幾個(gè)月更改密碼。 如果你明智地選擇了強(qiáng)的，你可能無(wú)法記住它們，所以這里有一些工具的建議，幫助你管理密碼。 （我的同事唐娜·譚在這篇文章中也有專家的建議。）

我如何知道一個(gè)網(wǎng)站是否正在保護(hù)我的密碼，如果違反了？ 安全和隱私研究人員Ashkan Soltani說(shuō)：“你沒(méi)有。 他說(shuō)，大多數(shù)網(wǎng)站都不透露自己的安全措施，而是向人們保證他們采取了“合理的措施”來(lái)保護(hù)用戶隱私。 沒(méi)有最低安全標(biāo)準(zhǔn)，一般網(wǎng)站需要遵循，就像銀行和其他金融網(wǎng)站一樣，為主要信用卡公司處理持卡人信息。 許多接受支付的網(wǎng)站將交易的處理外包給其他公司，然后受支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)的約束。 在PCI認(rèn)證之外，沒(méi)有可靠的安全批準(zhǔn)印章，特別是人們可以查看來(lái)決定是否信任一個(gè)網(wǎng)站。 也許，如果這些大網(wǎng)站上有足夠的數(shù)據(jù)漏洞，人們每天都在使用，人們就會(huì)開(kāi)始要求這些公司加強(qiáng)他們的安全措施，立法者也會(huì)制定安全標(biāo)準(zhǔn)。 可能吧。

我有高級(jí)會(huì)員。 我該擔(dān)心嗎？ Linked In發(fā)言人奧哈拉告訴CNET，“據(jù)我們所知，除了密碼列表之外，沒(méi)有其他個(gè)人信息被泄露。” 目前還不清楚eHonomy和Last.fm的情況，后者也提供付費(fèi)訂閱。 這些網(wǎng)站的代表尚未回答問(wèn)題。 安全公司AVG有一個(gè)很好的提示，保護(hù)信用卡數(shù)據(jù)時(shí)，使用基于網(wǎng)絡(luò)的網(wǎng)站，可能成為黑客攻擊的獵物。 “如果你訂閱了在線服務(wù)，如Linked In或另一個(gè)網(wǎng)站的高級(jí)服務(wù)，就只為在線購(gòu)買而預(yù)留信用卡，這樣一旦它被破壞，你就可以提醒一家信用卡公司違規(guī)?！盇VG安全傳道者TonyAnscombe在博客中寫(xiě)道。 不要使用自動(dòng)取款機(jī)卡購(gòu)買，因?yàn)槟憧赡軙?huì)在幾個(gè)小時(shí)到幾天的任何地方無(wú)法獲得現(xiàn)金。

除了我的密碼，我的帳戶中還有哪些信息是敏感的？ 黑客可能已經(jīng)使用了受損的密碼來(lái)訪問(wèn)至少一些帳戶。 一旦進(jìn)入，黑客可以扮演帳戶持有人的角色，并向網(wǎng)站上的其他人發(fā)送消息，如果你在你的個(gè)人資料中提供了你的電子郵件和其他聯(lián)系信息，以及你和其他人之間發(fā)送的聯(lián)系人的姓名和內(nèi)容，這些信息可能包含敏感信息。 在那里有大量的信息可以用來(lái)攻擊你的社會(huì)工程攻擊，甚至可以幫助進(jìn)行企業(yè)間諜，因?yàn)長(zhǎng)inked In社交網(wǎng)站的專業(yè)重點(diǎn)。