今天看新闻,1号店用户账号存在安全风险,原文如下:
这个事真的在当前越来越常见,当前的互联网环境在不间断的在发生类似的情况。
自2011年的CDSN、天涯被大号账号密码外泄后,在随后的几个月至现在,不少互联网公司都出现了黑客集团盗号、攻击的事件,我也碰到了类似的情况。好在我们的数据本身还是安全的,从分析跟踪来看,黑客集团通过网上已经公开的账号密码,再加上自己攻破的一些网站密码,已经汇集了相当数量的用户账号数据库,这里有一个最关键的原因是,很多用户注册的账号名都有一定类同性,密码也常常会是相同的,黑客最喜欢的就是这样的用户,当用户在A网站注册了一个账号,A网站存在风险后密码外泄,而用户在B网站注册了个同样的账号,使用同样的密码,黑客只需要把账号库去尝试在B网站登录下就容易的拿到了密码,如果用户在B网站有钱款,黑客马上就能通过各种方法转移走。对于B网站来说,就算他安全做的再好,也是躺着中枪。黑客不会只针对一个用户,只要他掌握了这样一个密码库,中国有这么多网站呢,一个个扫过去就行,几百万账号密码库里,总会有几千上万的用户能被扫出密码的,这个黑客活,只要花时间就行了,没什么技术难度。
而对于网站来说,本身安全做的再好,也很难有应对解决办法,毕竟总要用户登录吧,登录就要有密码,这全在用户手里,用户自己没有安全意识,使用简单密码,或者所有网站用同样的密码,网站本身怎么预防解决去?
在这里,我反思和总结这些现象,我觉得对这种攻击没有完美的解决之道,但是或许有一些方式需要各网站、网监或类似部门考虑的,大致如下:
1.需要注册会员的网站必须提供数据安全保障机制,数据库中的密码不得明码或使用可逆加密方式保存。这个需要下达行政指令,强制要求所有网站执行,能提高每一个网站的安全,强化整个网络环境的安全;
2.没有能力强化安全的小网站,尽量使用OAuth方式调用第三方平台的账号,不要自己去维护用户库了,意义不大,安全性又差;
3.电商、网游、第三方支付企业是受害的高发群体,黑客最喜欢攻击这些网站从而达到套现的目的,这类文企业必须设立更高的门槛,没有多少安全能力的小企业禁入,到门槛的公司,需要给出明确的安全方案,比如防黑客大量登录验证的手段,发生盗号后快速禁止钱款转移的手段等等,当然这一步还要商讨,不要变相的把这一步骤变成了有关部门新的生钱手段;
4.各网站或者整个社会都必须向用户群体告知上述风险,要求用户密码不要设的全都一样,要求注册账号时就必须提供线下验证的手段,而不是注册后补填,比如手机号,在要求进行与金钱相关的交易时,都必须通过手机短信验证,否则禁止交易。
以上,只是我的个人见解,大家可以讨论,但请不要断章取义。
阅读(1308) | 评论(0) | 转发(0) |
