戏说互联网安全

点击放大

最近腾讯的数据库曝光了,你可能会觉着其实还是很安全的,因为密码没有泄露,更没有傻逼的明文密码。你要真这么想那就大错特错了,此次暴露的数据库共计24.56GB,这还是7z压缩包的大小,据传时间是2012年12月26日 至 2013年1月7日之间几次导出的数据库,可以查看每个QQ的联系人,资料等... 相信随便搜一搜大家就能看见乌云发的那张图。你会说密码没泄露其实还是很安全的。真的是这样?请注意数据库导出时间,这个数据库到暴露日期已经将近一年之久早被脱裤的人利用得没有任何价值了,而且还是几次导出的数据库期间时间间隔十多天,谁能说入侵者是否还在腾讯内部网络中翻滚?

此种数据库都被脱裤那么之前的道哥黑板报中的V是否又真实存在,V的查询库又是否存在?答案已经不言而喻,我想只要V想那么他随时可以从你的支付宝什么的转走钱,你会说他会暴露?你这样想那就错了达到V这种级别的人可以有很多种方式洗钱。

对于普通用户来说怎样更安全?账号、密码、甚至是资金,其实网银那套安全措施还是很不错的USB Key或者动态密码,最不济的也有手机短信验证,当然像V这类的高手可以破解但是对于普通用户来说V这样的高手他不会破解,因为破解没有价值。

我想你已经知道我想说什么了,但是你会说普通网站、邮箱、论坛根本不能使用网银那套安全措施。其实我想说的不是这个,V的查询库只是通过他得到的信息,录入的密码,而普通用户很多都是一个密码多用,更有胜者只有一个密码。那么得到你一个账号密码就能访问你所有的账号,这种危害我都不用再细说了。可能你会说那么多账号设置单独的密码我如何保证记住?

接下来我要说的就是重点了,首先世界上有不下5款的密码托管软件,其中用户量最多的当属LastPass,它可以自动登录,自动注册其它的功能我就不再一一赘述了,它在你注册账号时可以生产随机密码,这个随机密码所用的字符、长度你都可以设置,就我使用而言我都是数字字母随机16位密码,关于密码存储它是在本机加密上传到LastPass的服务器存储,当然你肯定不放心LastPass担心它会被入侵得到你的LastPass密码你的其它密码也会被一锅端,这种担心是有必要的,如果你有这种担心那么就购买LastPass的高级服务吧,再购买个YubiKey来进行加密,这样谁也破解不了你的密码了。(如果有人用超级计算机跑你的密码的,那么你也不会是什么好人。)

YubiKey的用处不仅仅限于LastPass,它可以作为系统登录秘钥,不仅仅限于Windows,如果有其它网站支持也可以使用,最基本的YubiKey也不是很贵可以永久使用。

说完密码的安全,我们说说信息吧,不要以为你的邮件、聊天记录等等互联网上的隐私都很安全。我在一次偶然的机会和帽子聊天询问了一个问题,说有部电影中一个黑帽子住在银行边上银行的电缆(那时没那么多光纤)从他房子上绕过,他盗割电缆实行监听伪造窃取银子最后被发现逮捕,这种事情现实中有没有?这个帽子回答我说他曾经花费几台路由做过类似的事情确实可以监听。伪造数据包据他回答也能实现。

网上还有关于在网关路由等等监听信息的很多说法或事实、这些东西都能实现,如果一个黑帽子入侵了网关路由等设备那么可以监听所有通过这个设备的所有用户,而此类大家接触到最多的实例莫过于天朝国家防火墙(长城防火墙、GFW)。

而干这类事儿最多的也是天朝政府之类的了,也许米国政府的“棱镜”更厉害我想在CPU这种玩意上植入一个硬件后门是很容易的。这种事情是完全避免不了的。而和普通用户息息相关的那么就是几大互联网公司了,你可能忘记当年3Q大战,QQ偷扫用户硬盘(最明显的是开着QQ安全删除U盘),其实360何尝没干过这种事儿,最近还有哪个公司也被曝光类似的事儿。其实这种事儿没哪家不干的,说白了也就是干得名不明显的问题。

最后对于此类事件我只能说“狗咬狗”以及“草泥马勒格彼得”