【大话IT】就是这么任性!你的密码够安全吗??
获奖名单已公布:http://bbs.chinaunix.net/thread-4165042-1-1.html最近有一句话在安全界广为流传:“网络空间只有两种人,一种人知道自己被黑了,另一种人不知道。” 移动互联网时代,每一个人至少拥有几十个账户密码。一串串字符被赋予实名,看管我们最珍贵的东西,保护数据与信息,看护梦想与回忆,看管秘密与恐惧……密码成了最常用的安全认证方法。可问题是,密码是有可能被盗的!怎么去找到哪些偷不走的钥匙呢?
最近马云和库克刚刚入选了美国《时代》杂志年度人物的候选人名单,双方在正式对外公布了在移动支付领域的合作成果。苹果手机用户已经可以在钱包内使用指纹支付功能,这是此前支付宝向苹果申请接口开放后,利用苹果手机内的TouchID硬件实现的一种新支付方式。
看到这些神奇的支付手段后,小编开始想象未来了!人类真的需要密码吗?到了明年,你卖萌对着手机喊了一句“亲爱的最帅了”,钱就可以到账;逛淘宝,宝贝看上10秒钟,付款就成功了,是不是很酷?再想像下2054年,你的行踪随时被掌握,不管你去哪里,地铁还是楼宇。因为每个人的虹膜信息都存储在电脑里,无数的虹膜扫描仪在盯着你。就是这么任性!
话题讨论:1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
活动时间:2014年12月10日-12月30日
活动奖励:根据大家的回复情况赠送礼品
功劳奖:回复质量高的会员将获得技术图书一本
苦劳奖:回复次数活跃的会员将获得社区徽章1枚
以下有些网友回答得非常不错,请大家点击链接查看:http://net.it168.com/a2014/1219/1691/000001691991.shtml 本帖最后由 action08 于 2014-12-11 17:21 编辑
1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
这个复杂的密码,只有面对暴力破解才有效果。而现实很少有采用的
——你电脑手机全是盗版系统,流氓软件,你怎么玩都在隐患之中。就算没有安全风险,也有法律风险
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
万能钥匙,方便。
现在很多涉及资金的帐户,都需要手机动态密码。稍微黑客,无所谓了。
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
届时肯定会有高级黑,
相比破解password密码,人脸,掌纹貌似更容易复制吧???相信其安全机制一定很呵呵
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
关于移动安全,功能机除了打电话,还可以动态吗验证。
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
靠谱的密码,只有自己知道就行了。
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
这个真难,目前还是期望安全服务业会受到企业的**,特别是有些投入不能少。个人就无稍微了。 我是被入侵而不知道的 1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
我觉得我的密码还是安全的,当然复杂的密码会给破译添加更多难度,但是同时也得考虑一个是这么复杂的密码自己是否能记得住,这时候怎么处理?我再找个东西来记住所有密码?那这个东西怎么实现加密,如果解密方式被破解呢?我有同事自己在记密码的时候就是搞了一套自己的加密方式,添加一下自己的信息修改一下字母顺序之类的方式。
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
同1 , 如果使用一把钥匙开一扇门肯定会比较安全,至少不会说一个被破就全部都危险,但是缺很麻烦记忆。万能钥匙却相反,方便记,但也有被全盘破解的危险。
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
这个比如说手机解锁,电脑解锁,还有门禁都可以啊,我就试过人脸解锁,在自己的nexus4上面有这样的功能,但是很搞笑的是有同事都能解开,所以只能说目前的技术还是不太成熟,如果能做得更完美,辨别更加细致高效的话,我觉得会取代传统的验证方式的。
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
这个是最担忧的,如果云相册的密码被破解,自己很多隐私就会曝光。我觉得首先一个还是不要把太隐私的东西放到云相册里面去,其次最好能有不同相册不同的加密,如果可以的话,登陆有邮件或者短信通知都能预防一些
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
网上有一些密码测试工具,可以自己设置规矩,比如说要12位,要大小写字母,要数字,要符号等等。
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
这个不是很了解,但是我觉得部署好防火墙,使用vlan划分好网络应该能有一定程度的保护。 1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
有大小写字母、数字、符号,被暴力破解的可能性很小。其他的安全性就看网站的了
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
最好是不同网站采用不同的账号、不同的密码,为了好记,可以根据网站在同一账号、密码基础上加一定的有规律的变换。这样可以防止某网站泄露导致其他网站账号密码的安全性
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
这些都需要一定的硬件支持,只能作为传统密码的补充,在一定时期内,传统密码还是会存在的。
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
在第二点采用不同账号密码的基础上,不使用公共的wifi、识别假网站等。
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
想一句好记的话,然后取首字母、谐音等,最后得到密码,最好包含大小写字母、数字、符号。
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
全员培训,提高安全意识。网络监控,避免恶意邮件、网址。防止木马。流量监控。 被黑而不知道。:em17: 1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
相对还可以把。如果比较重要的网站,密码都非常复杂,但是自己可以记忆的。一些普通的网站,密码就不用太复杂,有一定的规则
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
因人而异,为了安全,肯定一把钥匙开一扇门比较好,但是可能比较难以记忆,尤其对于年龄大的人,或者记忆力不好的人
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
每周单独的识别方式都有自己固有的缺点,我个人觉得应该将多种方式结合在一起,虽然复杂点,如果真的有安全需要,还是值得的。
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
最担心的是云供应商的网站被人一锅端了。所以,比较重要的东西还是不保存在云比较好,或者保存了,加密码保护起来
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
作为一个专业人员,不少资料都说8位以上,数字大小写字母特殊符号混合起来最安全,问题是这样,可能比较难以记忆。通常这样的密码可能好记也难忘:11*11=12onE,我觉得这样的,记忆也不困难,而且很难猜到
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
APT攻击也是现在大家都面临一个难题,我觉得要多重技术结合在一起才能好好的预防,另外,用户的培训和教育是一定少不了的
好话题,坐等专家:mrgreen: 1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
安全是相对的,看对谁呢!若针对人,能猜测的密码都不安全,所以越复杂越好,针对暴力破解,没有密码是安全的。针对泄露密码,只要密码不一样就行了。万能而好用的密码是不存在的。
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
我用的是:万能钥匙 + 网站规则。万能钥匙怕泄露;单把钥匙怕忘。
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
这些都有不管人自身的意愿而直接解锁的情况,可以作为验证,但不能单独作为密码使用。如银行,单指纹恐怕不行。
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
现在的泄密主要有两种,第一种,网站漏洞导致拖库,第二种,用拖库得来的用户密码尝试登陆其他的网站。整体来讲,还是社会工程学。
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
我的是:1、通用密码 + 网站特征,如CU就是shisandian123@IX。2、密码分级,不同级别的网站通用密码是不同的,如网银和支付宝是一个级别,但是和CU就不是一个级别,但是最多三级。
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
知道后转换身份,单独处理,完全消除和别的系统的任何关联。
本帖最后由 lsstarboy 于 2014-12-11 11:50 编辑
1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
我的密码基本上安全,在用密码之前,最好在网上反查一下,起码看一下md5的密文能不能被反查出来。太大众化的不好,要找到自己密码的规律。
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
两者都不好,我一般的策略是注册时先用一些临时的万能密码,如果决定在这个网站长驻,那么就按一定的规律来做这个网站的密码。
所以到最后的规律是:重要的网站密码各不相同,不重要的网站是“万能钥匙”。
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
指纹已被滥用,被破解成本会非常低,因为取得指纹相对是比较容易的,现在成本主要是制作指纹;
笔迹和键盘敲击,其实跟密码性质差不多。
人脸识别和声纹应该还有一定的潜力,操作简单,破解相对要难一些,但是声纹能区分录音吗?
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
泄密不仅仅是密码,而是相关的信息,**号、银行帐号、电话之类的,现在一切向钱看,这些信息随时可能泄露,在填这些信息的时候,一定要慎重。
特别鄙视一下淘宝和新浪,以及QQ,现在没有不填电话根本没法使用,赤裸裸的要用户信息!这些都是身边的不定时炸弹。
云相册和移动支付的密码泄露是很要命的,用证书要相对安全一些。但是主要跟操作习惯有关,弄个U盾成天挂在机器上,还不如密码来的安全呢。
我还认为,目前密码泄露,绝对跟杀毒软件等流氓软件有关,给同事朋友修机器的时候,xp的内存占用能超过1G,win7机器4G内存都跑不动,我就不信没有个泄密的东东。
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
好多系统现在都要求:至少8位,至少有大写,至少有数字,至少有个特殊符号,这是一个非常好的习惯。
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
话说这些攻击都跟用户的使用习惯有关,一味追求方便,一味追求多功能,一味追求利益,稍不注意就会上钩。
一般都是从普通员工入手,除非管理员不合格,因为普通员工的安全意识最薄弱。
在一个机器装了三个杀毒软件(360,QQ,金山),再装了迅雷、2345、ppav,啥玩意音乐、QQ的一大堆、百度的卸载不掉的东西,你还指望这台机器安全吗?特别是现在有些管理员在服务器上也安装这些东西!
有效防御攻击,我认为基本的三条:(1)尽量手动,所有的进程、端口都要了解它是干什么的,是由哪个程序开启的;(2)重要信息都要验证;(3)不要贪图便宜。