12306“撞库”事件再次敲响个人信息安全警钟
12306所谓的“撞库”事件已经发酵了一段时间,不知道可能泄露个人信息的你有没有采取积极措施呢?比如修改密码,比如更换注册邮箱等等。
说到撞库我们不得不说拖库,这是一种比较形象的说法,它是指一些网站服务器安全措施做的不到位,然后被黑客或者其他好事者入侵后将数据库拖出来。数据库出来了,存储用户名、id、密码的数据库表就自然而然能导出来,然后利用这些信息去其他网站进行试登陆,撞到一个算一个,撞到就算是撞库了。
可以看出,撞库需要满足两个条件,一个是泄露了一个网站的用户信息,另一个是被试登陆的网站存在该用户且密码相同,那么防范措施自然也要从破坏着两个条件入手。一是加强用户信息安全管理,二是不同网站码一定要独立。
用户信息要保存好,最好记在大脑里,并且要保证密码长度足够长、足够复杂。忌讳一些简单诸如“123456”、“000000”、“aaabbb”这类长度较短,结构单一的密码;更要避免使用生日、年份等容易猜到的内容做密码;另外不要把用户名密码信息放在没有采取安全加密等保障措施的优盘、移动硬盘、电脑磁盘里,万一丢了呢?
有的人说了,我是一个IT技术人员,我需要经常登陆iteye、csdn、谷歌、网易邮箱、办公oa……等等一些网站,用户名密码太多,记不住啊。这时候我们可以使用一些技巧,比如网易邮箱密码,你可以将“NetEase”+“********”作为密码;如果是新浪的话你可以“Sina”+“********”等等,后面的比较长且复杂的字符串相同,这样就好记了。当然了,这里只是举例,你写个“Sina”大家都知道是新浪,你最好自己定一些只有自己懂的规则,什么二进制后移位……反正规则越奇怪就越安全。
你的用户信息安全了,密码又是彼此独立的,这就破坏了用你的账户信息去撞库的基础,当然就相对安全了。
该修改密码的用户想必一定改过密码了,泄密事件也算是告一段落,但是我们不能停止思考。我们要思考为什么数据库里会是明文密码?这需要某些单位加强用户信息安全责任感,不能存储可以逆运算出用户密码的数据,当然更不能存明文密码数据。另外就是一些法律法规很多时候没有落在实处,当我们手机上莫名奇妙会有一些对你知根知底的来电或短信时,我们却无可奈何,这需要依法治国的社会有法可依且有法必依。
作者:忆辛,写于羊城,于2014年12月29日 12点00分发表在ITeye网站,任何单位和个人未经作者书面许可,禁止转载、复制本文全文或文章的任何部分。