近日,国内多家网站遭遇史上最大“泄密”事件:自2011年12月21日以来,CSDN、天涯、人人网、开心网、世纪佳缘等多家国内知名网站陆续被曝遭到黑客攻击,根据网上公开的泄密数据库统计,“泄密门”波及网民数量已经超过1.1亿。
最近又有支付宝、新浪微博等网站也出现账号被盗的情况,而这些网站并不在“泄密门”之列。大多数用户都不解,自己对于账号的管理比较谨慎,密码也比较复杂,黑客究竟是通过什么途径盗取了账号。
重复使用相同密码是留给黑客的“万能钥匙”
在现代社会中,身份认证是一个非常关键的环节,也是信息安全策略和体系的前提保障。有研究数据表明,平均每人需要记忆数十组账户和密码,而且这个数字还在不断增长,其中50%以上的人用不到3个密码来关联所有的用户账号。信息安全面临的主要威胁来自于密码安全,密码身份认证所存在的安全缺陷且记忆不方便是重要的原因。随着现在网络应用的大规模普及,企业业务系统(财务/ERP/OA/CRM等)的不断增加,再加上实际生活中所必需的各种账号(邮箱、论坛、聊天工具、博客等),人们在信息社会需要记忆的密码越来越多。
而在用户反映的账户被盗现象中,基本都是通过用户邮箱注册的,用户可能在不同的网站注册时,经常会用同一个电子邮箱并设置相同的密码,这导致了一旦其中某个网站的密码被盗,接下来多个网站的账号均被盗。
多账号同一密码造成资金损失
多个账号采取同一密码,让网络黑客有可趁之机。
2011年7月19日,据钱江晚报报道,李女士的社交网站账号被盗,而使用同样账号密码的支付宝账号便被黑客利用在某处消费了50元。
2011年8月25日,据今日早报报道,支付宝用户周晨,因为手机网上营业厅与支付宝使用了同一密码,黑客便利用这个“疏漏”,登录手机网上营业厅,开通了短信转移业务,并迅速利用快捷支付盗刷了1000元。
2011年12月21日,在CSDN密码泄露当天,多位网友发现自己的支付宝被盗刷。
……
在多个网络门户使用相似的账户和密码,或许使得密码泄露牵连支付宝等网络支付工具。不少用户出于方便的考虑,邮箱、论坛和网络支付账号都使用相同的账户与密码,这带来了极大的安全风险。任意一次资料泄露都将导致用户所有账户链失去安全保障,对网银、网络支付用户影响极大。
网络支付账户安全路在何方
此次支付宝被盗刷的原因:一方面,由于此次“泄密门”涉案网站均采用了明文密码保存方式,被黑客轻易破解,导致用户资料泄露;另一方面与网友平时多个账号采取同一密码的使用习惯有关。
“安全是相对的,不安全是绝对的”,任何网站上的用户信息都不是绝对安全的。作为用户,从理论上而言,最安全的办法就是一个账号一个密码,并把密码尽可能的设置复杂一点,而且每个账号密码互不相干。这样,即使某个网站或账号被黑客攻破,也不会导致用户其他账号密码一起沦陷。