上海腾科
杭州官网
认证课程与师资
业务入口
高校招生
社会招生
企业培训及合作
学员服务中心
校企合作
腾科招聘中心
甲骨文认证体系
Vmware认证体系
AWS亚马逊
阿里云认证体系
红帽认证体系
ZStack云计算认证体系
思科认证体系
华为认证体系
CDA数据分析师认证
达梦认证体系
麒麟
定制化课程
首页 > 腾科行业动态
上海腾科教你如何避免信息泄露
发布日期:2020-06-24 16:40:00阅读次数:

上海腾科教你如何避免信息泄露

刚刚迈入2020年不久,安全事件就已频发,前有国内郑州市某民办高校近两万名学生信息遭泄露,其中涉及身份证号等20多项信息;台湾省发生重大个人数据泄露事件,84%公民信息出现在暗网;后有美国教育机构供应商 Active Network为学校提供的会计软件Blue Bear 被黑客入侵,拿走其支付卡数据;美国明尼苏达州 Alomere Health 医院被曝该院两名员工的电子邮件账户遭到黑客入侵,发生数据泄露事件。过去和现在都不断在上演的信息泄漏事件,已是一个老生常谈的话题,可以预见在将来的一段时间内,依旧会是让人们头疼的事情。

截止目前,最大的数据泄漏原因依旧是来自配置不当的系统,其中就包括身份验证和密码薄弱。

如果你的密码设置得很好“猜”,我们就可以说这个密码的强度很“弱”,就是一个“弱口令”。弱密码存在的巨大隐患,和我们每一个人息息相关,今天就让我们来聊一聊 “远离弱口令,保护信息安全。”比如,123456常年霸占弱密码榜首根据splashdata的统计,2019 年的十大弱密码仍是那几个熟悉的面孔,和 2018 年的榜单做个比较,上榜的密码大同小异

 

这些高频出现的口令,往往就是黑客最偏爱“猜测”的口令,也就是典型的“弱口令”,弱口令还包含空口令和通用口令和一些用户名相关的口令

“空口令”很好理解,就是完全不设置口令。在开发测试环境,搭建的数据库(比如MySQL、memcache、redis、mongoDB等等),为了方便,完全不设置任何密码,登录的时候不需要停下来输入密码的感觉真是太惬意了,这种类型即成为空口令”。黑客也不需要输入密码就能偷取你的隐私,会更惬意呢。或者另一种情况,管理人员可能已经意识到密码强度太弱不好了,于是设置了一个字母+数字+特殊字符的口令,比如“complexPWD@1984++这样的口令,看上去不那么容易“猜”得出来了,可惜,整个团队的人都在用,时间长了,团队人员变动,或者某个成员个人电脑、服务器被黑,都会导致团队的通用口令泄漏。因此,使用静态的通用口令依然要被视为“弱口令”。

有些人会把密码设置得跟用户名有一定的关系,比如:用户名是小明,密码是小明的生日、手机号、纪念日、父母的生日;也有人用自己的车牌号码,家庭住址门牌号码,这些常见的“密码套路”,极容易被破解。因为本质上还是和你的一些基本信息有关联。黑客可能拥有某些网站的数据库,可以直接查询你的这些信息

既然如此,那我们应该如何保护我们的密码呢?1. 设定多套密码安全专家建议,可以为自己设定多套密码,东南大学网络空间安全学院副教授宋宇波说:“重要系统(比如网银等和隐私密切相关的)和非重要系统(一些论坛、查阅为主的网页)的密码要分开,工作、生活、和理财账户使用不一样的密码,这样能减少风险。”2. 不要到处乱贴自己的密码工作中见过不少小伙伴,由于密码难记,于是写在便笺上,贴在座位或者显示器附近。方便了自己,也往往方便了陌生人。《入侵的艺术》里,凯文.米特尼克就这样获取过某银行的密码然后入侵了进去。3. 不要明文存储自己的密码曾经遇到过一个真实的案例,有同事把存储了密码和很多工作相关信息的txt文件(包括写在记事本里、邮件里),打包在网站根目录下,命名为readme.txt,结果这个文件被外部人获取到了4. 采取统一认证所谓统一认证,就是将需要登录的若干个系统,整合在一个地方。这个时候,你就不再需要记忆很多站点的密码,集中记住一个就够了。比如能够用QQ或微信授权登录的地方,就不用再去另注册一个用户名和密码了。5. 重要系统不要只用密码认证比如大家在登录网上银行的时候,可能还需要结合短信验证码、动态口令令牌、手机APP扫描等多种手段。即使密码真的泄漏了,如果重要的系统必须同时满足2,3种验证手段才允许登录,那么这个系统的安全性自然会更高一点。6. 使用复杂的口令复杂口令,首先密码的长度要长,至少8位以上。比如你的密码是6位纯数字的782341 ,黑客写个程序从 000000 逐个猜到 999999 ,最多猜100w次,就能把你的密码“猜”出来,而你的密码是8位,它就要猜1亿次。其次,密码不要纯粹的使用数字或字母,而是要数字、字母、特殊字符夹杂着。这样,如果你的密码是8位,每一位可以使用26个大写字母、26个小写字母、10个数字、若干个特殊符号,那么黑客就要猜测至少 N的8次方,N大于72,这可是一个更大的数字,很多黑客没有耐心这么猜下去的。7. 使用屏保/锁屏密码一定要设置屏保密码,假设你突然被叫走,你的电脑不知道会被谁使用,重要的文件可能会被拷走。8. 使用密码管理器工具有时我们的密码是设置的挺复杂,可是一转头自己也忘了密码是什么,这种时候,可以借助一些专业的密码管理软件,把各个地方的密码管理起来,下一次想不起密码的时候不用抓耳挠腮,只要复制粘贴就可以了。密码管理器能够帮助你解决记忆的难题,还能保证较高的安全性,这方面的软件有很多,例如:KeePass DX,Password Safe和KeePass,Easypass等。当然,密码管理器也有一个密码,这个密码叫做主密码,你必须牢记主密码,并且为了防止遗忘,最好把主密码记录在其他私密的地方。9. 定期更换密码即使你拥有了一个复杂的密码,也不要长时间使用,因为有时候密码可能泄漏了我们却不知道。面对这种情况,定期更换就是一个很好的策略,哪怕我们的帐号密码一时间被黑,泄露出去了,修改了密码之后,攻击就失效了。

或许没有什么能保证绝对的安全,使用指纹解锁、面部解锁也不例外,但正因为如此,我们平时才要多注意密码安全,多学习保护措施,并且及时去实践操作,这样才能在面对这些可能发生的意外时,更加的从容淡定,更好的解决问题。网络安全的重要性在现代人人互联网的时代是不言而喻的,而人才的需求也会越来越旺盛,就业前景也非常广阔。腾科教育提供华为认证推出的HCIE-Security的课程。学习知识,为未来生活保障。



上一篇:上海腾科就Vawtrak恶意软件谈网络安全 下一篇:云计算的低价后面隐藏了什么
返回