密碼泄露對您意味著什么

三家公司在過去的24小時里警告用戶，他們的客戶密碼似乎在互聯(lián)網(wǎng)上浮動，包括在一個俄羅斯論壇上，黑客吹噓破解他們。 我懷疑更多的公司也會效仿。

好奇這對你意味著什么？ 繼續(xù)讀。

到底發(fā)生了什么？ 本周早些時候，在提供破解密碼工具的Inside Pro.com的俄羅斯黑客論壇上發(fā)現(xiàn)了一個文件，其中包含650萬個密碼和150萬個密碼。 根據(jù)論壇線程的截圖，使用“dwdm”的人已經(jīng)發(fā)布了原始列表，并要求其他人幫助破解密碼，該線程已經(jīng)離線。 密碼不是純文本的，而是被一種叫做“散列”的技術(shù)所掩蓋。 密碼中的字符串包括對Linked In和eHonomy的引用，因此安全專家懷疑他們來自這些網(wǎng)站，甚至在這些公司昨天確認(rèn)他們的用戶密碼被泄露之前。 今天，CNET的母公司CBS擁有的Last.fm也宣布，其網(wǎng)站上使用的密碼屬于泄密者。

出什么事了？ 受影響的公司沒有提供關(guān)于其用戶密碼如何落入惡意黑客手中的信息。 到目前為止，只有Linked In提供了它用于保護密碼的方法的任何細(xì)節(jié)。 Linked In說，使用SHA-1散列算法，其網(wǎng)站上的密碼被模糊了。

如果密碼被散列了，為什么它們不安全？ 安全專家說，Linked In的密碼散列也應(yīng)該被“鹽化”，使用的術(shù)語聽起來更像是我們在談?wù)撃戏脚腼儯皇敲艽a技術(shù)。 未加鹽的散列密碼仍然可以使用自動暴力工具破解，該工具將明文密碼轉(zhuǎn)換為散列，然后檢查散列是否出現(xiàn)在密碼文件的任何地方。 因此，對于常見的密碼，如“12345”或“密碼”，黑客只需要破解一次代碼就可以解鎖所有使用相同密碼的帳戶的密碼。 Salting增加了另一層保護，在散列密碼之前將一串隨機字符包含在密碼中，這樣每個密碼都有一個唯一的散列。 這意味著黑客將不得不嘗試單獨破解每個用戶的密碼，即使有很多重復(fù)的密碼。 這增加了破解密碼的時間和精力。

該公司說，Linked In的密碼已經(jīng)被修改過，但沒有加鹽。 從今天下午開始，Linked In博客上的一篇文章說，由于密碼泄露，公司現(xiàn)在正在對數(shù)據(jù)庫中存儲密碼的所有信息進行銷售。 與此同時，last.fm和eHonomy尚未披露他們是否對網(wǎng)站上使用的密碼進行了散列或加密。

為什么存儲客戶數(shù)據(jù)的公司不使用這些標(biāo)準(zhǔn)密碼技術(shù)？ 這是個好問題。 我問密碼學(xué)研究的總裁兼首席科學(xué)家保羅·科徹，是否存在經(jīng)濟或其他抑制因素，他說：“沒有成本。 如果那樣的話，可能需要10分鐘的工程時間?！?他推測，實施這項計劃的工程師“不熟悉大多數(shù)人是如何做到的”。 我問Linked In為什么他們以前沒有加鹽密碼，并被提到這兩個博客：這里和這里，這不回答問題。

除了密碼學(xué)的不足，安全專家說，這些公司應(yīng)該加強他們的網(wǎng)絡(luò)，以便黑客無法進入。 這些公司尚未披露密碼是如何被泄露的，但鑒于所涉及的帳戶數(shù)量眾多，很可能有人闖入他們的服務(wù)器，可能是利用漏洞，并竊取數(shù)據(jù)，而不是由于一些成功的、大規(guī)模的釣魚攻擊。

我的用戶名也被偷了嗎？ 僅僅因為與密碼相關(guān)的用戶名沒有被發(fā)布到黑客論壇并不意味著它們也沒有被盜。 事實上，用戶名和密碼等賬戶數(shù)據(jù)通常存儲在一起，因此黑客很可能知道他們登錄受影響賬戶所需的一切。 Linked In不會說用戶名是否被暴露，但會說電子郵件地址和密碼被用來登錄帳戶，并且沒有發(fā)布與密碼相關(guān)的電子郵件登錄，他們知道。 此外，該公司表示，它沒有收到任何“經(jīng)核實的報告”，未經(jīng)授權(quán)訪問任何成員的帳戶，因為違反。

我該怎么辦？ Linked In和EHonomy表示，他們已經(jīng)禁用了受影響帳戶上的密碼，并將跟進一封電子郵件，其中包括重置密碼的說明。 該公司表示，Linked In的電子郵件將不包括直接鏈接到該網(wǎng)站，因此用戶將不得不通過一個新的瀏覽器窗口訪問該網(wǎng)站。 這是因為釣魚電子郵件經(jīng)常在電子郵件中使用鏈接。 網(wǎng)絡(luò)釣魚騙子已經(jīng)在利用消費者對密碼泄露的擔(dān)憂，并在看起來像是來自Linked In的電子郵件中向惡意網(wǎng)站發(fā)送鏈接。 last.fm敦促其所有用戶登錄網(wǎng)站并在設(shè)置頁面上更改密碼，并表示它永遠(yuǎn)不會發(fā)送帶有直接鏈接的電子郵件來更新設(shè)置或請求密碼。 就我個人而言，我建議您更改密碼，如果您使用任何已經(jīng)發(fā)出警告的網(wǎng)站，以防萬一。 僅僅因為你的密碼不在泄露的名單上并不意味著它沒有被偷，安全專家懷疑這些名單沒有完成。

所以，你已經(jīng)在網(wǎng)站上更改了密碼，別放松。 如果您回收了密碼并將其用于其他帳戶，您也需要在那里更改它。 黑客知道，人們?yōu)榱朔奖愣诙鄠€網(wǎng)站上重復(fù)使用密碼。 因此，當(dāng)他們知道一個密碼時，他們可以很容易地檢查你是否在另一個更關(guān)鍵的網(wǎng)站上使用它，比如銀行網(wǎng)站。 如果您的密碼在另一個站點上遠(yuǎn)程相似，您應(yīng)該更改它。 不難發(fā)現(xiàn)，如果您使用“123Linked in”，您也可以使用“123Paypal”。 如果您對您的密碼是否被泄露感到好奇，密碼管理器提供者LastPass已經(jīng)創(chuàng)建了一個站點，您可以在該站點中鍵入密碼并查看它是否在泄露的密碼列表中。

我可以寫一個很長的故事，關(guān)于選擇強大的密碼（實際上，我已經(jīng)有了），但一些基本的技巧是選擇一個長的，至少說六個字符；避免字典單詞，選擇混合小寫和大寫字母、符號和數(shù)字；每隔幾個月更改密碼。 如果你明智地選擇了強的，你可能無法記住它們，所以這里有一些工具的建議，幫助你管理密碼。 （我的同事唐娜·譚在這篇文章中也有專家的建議。）

我如何知道一個網(wǎng)站是否正在保護我的密碼，如果違反了？ 安全和隱私研究人員Ashkan Soltani說：“你沒有。 他說，大多數(shù)網(wǎng)站都不透露自己的安全措施，而是向人們保證他們采取了“合理的措施”來保護用戶隱私。 沒有最低安全標(biāo)準(zhǔn)，一般網(wǎng)站需要遵循，就像銀行和其他金融網(wǎng)站一樣，為主要信用卡公司處理持卡人信息。 許多接受支付的網(wǎng)站將交易的處理外包給其他公司，然后受支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)的約束。 在PCI認(rèn)證之外，沒有可靠的安全批準(zhǔn)印章，特別是人們可以查看來決定是否信任一個網(wǎng)站。 也許，如果這些大網(wǎng)站上有足夠的數(shù)據(jù)漏洞，人們每天都在使用，人們就會開始要求這些公司加強他們的安全措施，立法者也會制定安全標(biāo)準(zhǔn)。 可能吧。

我有高級會員。 我該擔(dān)心嗎？ Linked In發(fā)言人奧哈拉告訴CNET，“據(jù)我們所知，除了密碼列表之外，沒有其他個人信息被泄露?！?目前還不清楚eHonomy和Last.fm的情況，后者也提供付費訂閱。 這些網(wǎng)站的代表尚未回答問題。 安全公司AVG有一個很好的提示，保護信用卡數(shù)據(jù)時，使用基于網(wǎng)絡(luò)的網(wǎng)站，可能成為黑客攻擊的獵物。 “如果你訂閱了在線服務(wù)，如Linked In或另一個網(wǎng)站的高級服務(wù)，就只為在線購買而預(yù)留信用卡，這樣一旦它被破壞，你就可以提醒一家信用卡公司違規(guī)。”AVG安全傳道者TonyAnscombe在博客中寫道。 不要使用自動取款機卡購買，因為你可能會在幾個小時到幾天的任何地方無法獲得現(xiàn)金。

除了我的密碼，我的帳戶中還有哪些信息是敏感的？ 黑客可能已經(jīng)使用了受損的密碼來訪問至少一些帳戶。 一旦進入，黑客可以扮演帳戶持有人的角色，并向網(wǎng)站上的其他人發(fā)送消息，如果你在你的個人資料中提供了你的電子郵件和其他聯(lián)系信息，以及你和其他人之間發(fā)送的聯(lián)系人的姓名和內(nèi)容，這些信息可能包含敏感信息。 在那里有大量的信息可以用來攻擊你的社會工程攻擊，甚至可以幫助進行企業(yè)間諜，因為Linked In社交網(wǎng)站的專業(yè)重點。