RSS订阅信息安全技术跟踪与研究:技术、平台、会议、论文、产业
你现在的位置:首页 / 技术积累 / 正文

应对泄密事件:保护好自己的账号和密码

0 技术积累 | 2014年12月26日
转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址:http://www.vonwei.com/post/protectyoupassword.html

?2011年12月,CSDN遭到攻击导致600万用户的账号和密码等泄露,曾经轰动一时。后来,天涯、世纪佳缘等网站也相继被曝用户数据遭泄密。

2012年亚马逊、江苏银行、苹果、三星、1号店及上海市卫生局等也入选2012年十大信息泄密事件

2013年最有名的是棱镜门事件,让我们知道除了恶意黑客之外,平时信任的政府、Google、微软等这样的企业都会获取用户的个人信息和数据。还有一些酒店的开房信息被泄露也引起不小的波动。明朝万达总结的2013年十大信息泄密事件还包含金融业、支付宝、中国人寿、搜狗手机输入法、Adobe账号、雅虎日本、航空公司等的数据或者信息被窃取。

从“2014国内外数据泄露事件大盘点”报告中可以看到,信息泄密事件并没有停止,反而在不断加剧,比较有名的包括小米泄密门事件、2000万开房信息泄露案件、以及12306爆出的漏洞泄露用户信息。

这两天12306又被爆出泄露了用户的账号信息,包含明文的身份证、姓名、密码、购票情况等信息。虽然12306声称是第三方抢票插件泄露的,但真实情况我们却很难知道。

经历过这么多泄密事件,也许和你我相关的并不多,但随着事件的发展,总会找到我们的。CSDN泄露时,当时就立刻改了密码,而且很多其它网站使用的账号和密码与CSDN一样,也不得不去改了,而且只改了能记得住的,还有很多记不住的网站也就淡忘了,说不定也就隐藏着个人的信息。这两天曝光的12306泄露事件也让我立刻改了密码,不然还担心刷到的票被别人给移走了。


作为普通用户,我们不应该把所有的希望都寄托在第三方网站来为我们的账号和密码保密,我们应该拥有一定的主动权。特别是互联网发达的今天,大家拥有的账号和密码连自己都无法记得清楚,更别想去保护了。而且忘记密码抓狂也是常有的事件。

很早之前也想过开发一个工具,来保存自己所有的账号和密码,以及与网站的对应关系,这样给自己很大的方便性。今天简单的搜了一下,发现了一个不错的开源工具,KeePass密码管理器。

KeePass的官方主页为:http://keepass.info/

KeePass的开源代码下载地址为:http://sourceforge.net/projects/keepass/

这个工具有便携的绿色版本,即不需要安装,可以放到手机或者U盘中随时携带。可以存储你所有的账号、密钥和网站,而且信息是加密的,也就是只有你自己能访问。

简单试用了下,用户体验还不错,不像很多安全软件很难操作。这个只要自己创建一个数据库,并设置好密码后,每次访问自己的数据库就需要通过密码才能通过,而且还可以与密钥文件、Windows账号进行关联。进入数据库后的情况如上图所示,左边一列是分类,也就是可以记录保存网络、因特网、电子邮件、以及网上银行的所有账号和密码;右边详细列举了每条存储的账号信息,用户名清晰可见,密码是不可见的,通过一个复制按钮可以获得密码,而且记录网址后,可以直接点击进入网址按钮,将你定向到想要访问的网站。

这是不是很方便,而且你将该软件的便携式版本拷贝到手机或者U盘中,在任何时刻,你就不用担心忘记密码和账号了,而且也可以快速的访问想要的网站。

另一个好处时,你不用为每个网站设置相同或者相似的密码(相信现在大部分人都是这么做的),在注册某个网站的用户时,你可以通过这个软件提供的工具随机生成一个高强度的密码,不用自己去记,这个软件帮你记住就行了。就算有些网站在数据库中是明文存储你的用户名和密码的,没关系,该网站出现了泄密事件,你只需要改这一个密码即可,不用担心其他网站使用了类似的密码。不用去记忆,将所有密码牢牢掌握在自己的手中。

最后简单的分析一下安全性:如果保存这个软件和数据库的U盘、硬盘或者手机丢失,怎么办?首先,别人可以访问这个软件,不过要输入密码,也就是加密保护数据库的密码,如果攻击者攻破这个密码,你所有的网站、账号和密码相当于都丢失了,风险也很大。如果从加密算法的安全性考虑,没有太大的问题,因为攻击者破解加密几乎是不可能的。不过攻击者可以打密钥的主意,你的密码实际上是用来访问你的密钥的,通常这个密码就和该软件在一起,攻击者可以通过离线穷举攻击还获得密钥,而且这是可能做到的。比破解一个密码算法的成本和时间要小得多。

因此建议使用该软件时,最好像保护你的钱包一样保护好。另外一点就是可能对该软件的一个加强,可以与可信计算结合在一起,让加密数据库的密钥存储在你的硬件芯片TPM或者TCM中,该硬件芯片只有你的计算平台才有,就算你的软件和数据库丢了,别人再怎么字典攻击也获取不到你的私钥,也就无法访问你的数据库获取你的信息了。而且TPM或者TCM可以在物理上保证你的密钥不会泄露。

猜想一下:现在似乎没有啥安全公司在做类似这样的软件,既然开源的都有,实现这样一个软件其实也很简单的。估计是无法承担这样的风险,万一用户的密钥丢失,其所有账号和密码都丢失,甚至可能包含所有的信用卡、网银、类型12306这样的账号。建议开发软件后,让用户自己生成密钥(如TPM或者TCM芯片在终端生成密钥),软件厂商不用存储或者备份这个密钥;软件厂商可以提供一个强大的云服务,不过云中只存储每个用户加密的信息。只要密钥在用户手中,而且解密操作在安全芯片中执行,就算软件是厂商开发的,其也无法获取用户的数据,其获取的只能是密文。这样,也是让用户自己管理自己的账户,厂商也只提供服务,不担保其它风险。


  • ------------------分隔线----------------

  • 如果感兴趣,欢迎关注本站微信号,跟踪最新博文信息,手机微信扫一扫下面的二维码,即可关注!
  • 微月信公众号
  • 推荐您阅读更多有关于“ 可信计算  安全软件   ”的文章

    请填写你的在线分享代码
    上一篇:传统安全解决方案存在的挑战以及BIT9 + CARBON BLACK解决方案下一篇:应用白名单机制:有效的安全解决方案?

    猜你喜欢

    评论列表:

    发表评论

    必填

    选填

    选填

    必填,不填不让过哦,嘻嘻。

    记住我,下次回复时不用重新输入个人信息

    本站介绍
    最近发表
    本年最热文章
    本月最热文章
    网站分类
    文章归档