中国邮箱网讯 10月19日,乌云漏洞报告平台曝出“网易的用户数据库疑似泄露”影响数量总共近5亿条,泄露信息包括用户名、密码、密码提示问题/答案、生日等信息。
尽管网易邮箱团队官网否认泄露问题,并答复为用户密码相同’撞库’所致”,但同时也提醒了广大用户避免在不同网站使用相同的网易邮箱账号和密码,以免其他不安全网站的数据泄漏后影响在其他平台登录的安全。
所谓“撞库”就是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站。一旦用户在多处使用同一套密码,只要其中一处被破解就会让其他服务的账户安全受到威胁。
由于网易是国内最早的邮箱服务商,因此许多网民使用了网易邮箱注册或绑定了其他服务,如:淘宝、支付宝、iCloud、QQ等关键服务线,在网易邮箱被攻破的情况下,如果不及时修改密码,一旦情况属实,很可能造成连锁反应。如果你的某一项服务绑定的网易邮箱,那么也许它已经保护不了你了。
更重要的是,尽管关于如何设置高强度密码的文章劈天盖地,但很多网民仍习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码。许多网友在其他站点注册时使用的就是网易邮箱作为用户名,而密码又和网易邮箱用的是同一个密码,也就是说账号密码完全相同。在这种情况下,一旦网易邮箱数据库泄露情况属实,那么这些账号都将变得岌岌可危。
保护账户安全,网民个人应该怎么做?
在目前,静态密码依然作为主流验证方式的情况下,网民保护个人信息可以这么做。
首先,分级管理密码,重要帐号如常用邮箱、网上支付、聊天帐号等单独设置密码;其次,定期修改密码可有效避免网站数据库泄露影响到自身帐号;工作邮箱不用于注册网络帐号,以免密码泄露后危及企业信息安全;不让电脑自动“保存密码”,不随意在第三方网站输入帐号和密码;即便是个人电脑,也要定期在所有已登录站点手动强制注销进行安全退出。
密码泄露事件频发,未来身份验证的出路在哪里?
尽管每个网民都知道养成良好的密码使用习惯的重要性,但是真正能够做到的人少之又少。要求人们使用高强度的密码并且定期修改,几乎不可能,因为一个网民少则几个,多则几十个账号,如果使用复杂密码,那么身份验证将变得非常繁琐。很显然,密码已经承载不了人们的安全需求。在这种情况下,是否可以通过其他方式进行安全保护呢?
动态口令硬件
动态口令相对于静态密码,无法被暴力破解,也不会被“拖库”、“撞库”等问题困扰。目前银行支付使用的动态口令硬件就是基于其中的一种。而因为动态口令硬件携带不便且易丢失,因此目前常用的是动态软件,常见的有Google的动态令牌、洋葱令牌等。
生物特征验证
随着生物识别技术的快速发展,其安全便捷性也很快得到人们的认可,在账号保护上,生物识别也得到了非常广的应用,例如使用“洋葱令牌”,通过手机即可进行人脸、声音、指纹验证,然后通过扫码或推送的方式即可在网站进行登录。许多企业看到生物识别的安全便捷的优势后,也将“洋葱令牌”集成到企业内网,使员工在登录内网系统时不再使用账号密码,从而解决了企业内网的安全问题。
手机短信验证
目前主流的验证方式,许多网络服务注册、修改密码时均通过短信验证,但成本相对较高,并且目前已经被曝出来存在短信拦截的安全隐患。
总体看来,生物验证更可能成为日后的主流验证方式,尽管目前其安全性和准确性备受质疑,但相信随着识别技术的发展,安全性和准确性将不断提高。近期招商银行已经率先尝试采用“刷脸ATM取款”,身份验证服务商洋葱令牌也推出开发工具包以帮助更多移动应用开发生物识别功能。百度、阿里巴巴、腾讯纷纷开始部署生物识别战略。相信在生物识别技术普及后,密码泄露问题将不再出现。
自媒体作者:獬豸凌