还有,还不清楚周二有消息称,俄罗斯有一小群黑客入侵了该网站积累了一个数据库12亿用户id和密码被盗。披露这一事件的公司Hold Security周三没有提供任何新的信息,但我们希望看到有五个问题得到回答(另外一个问题我们已经知道答案了)。
证书是从哪里来的?
持有安全说黑客组织开始在黑市上购买盗取的证书,然后用这些证书发动其他攻击。但尚不清楚他们购买了多少凭证,以及他们自己剔除了12亿凭证中的多少。如果没有这些信息,就很难知道被盗数据有多新鲜,也就很难知道被盗数据的价值有多大。
它们是用于什么网站的?
如果黑客最近成功侵入了金融或电子邮件服务等主要网站,那么是时候修改你的密码了。但如果这些数据主要来自较小的网站,那么这些凭证的价值可能会更低——除非人们重复使用与敏感账户相同的密码。你的重要帐户有独特的密码,不是吗?
黑客们会拿它们做什么呢?
这个问题的答案部分取决于前两个问题。如果它们是网上银行等重要服务的新认证,那么它们被用来从网上账户吸走资金的时机已经成熟。如果它们是旧的或者来自很少使用的服务,它们可能被用来通过电子邮件发送垃圾邮件或在在线论坛上发布。
密码是散列的吗?怎么散列的?
如今,即使是大多数小型网站也不以明文形式存储密码,但用于保护密码的加密系统“哈希”(hash)提供了不同程度的保护。旧的MD5可以用蛮力攻击并在几分钟内攻破——如果密码是像“password123”这样的常见密码,破解速度会更快——但更现代、更安全的破解方法需要更长的时间,因此成本也更高。
我影响吗?
这是每个互联网用户都要面对的一个大问题。Hold Security公司表示,你可以注册一项即将推出的服务,该服务会通知你是否包含了你的详细信息。网站运营商将获得一项每年120美元的服务,如果他们的用户帐户出现在这个或其他黑客数据库中,该服务将通知他们。
密码不是那么安全,是吗?
不,尤其是现在大多数人都在使用它们。这就是为什么包括Gmail、Facebook和Twitter在内的主要网站都提供双因素认证,需要密码和由智能手机应用程序生成的不断变化的代码,或者当用户从一台新电脑连接时提供通过短信发送登录令牌的原因。安全公司正在研究新的身份验证方法,但这对黑客来说是一场不断上演的猫捉老鼠的游戏。