扫码打开虎嗅APP
近日,Facebook的联合创始人兼CEO马克·扎克伯格又上了头条新闻,原因却是因为他使用了极其简单的账号密码,导致自己的Twitter、Pinterest等多个社交账号被盗。
当人们发现扎克伯格被盗的Twitter的时候,上面上赫然写着“你在Linkedin的密码是dadada!”,同时他的的Pinterest账户上的标题也变成了 “是黑客组织OurMine Team 攻击的!”
显然,这是黑客的挑衅和对此次“战绩”的炫耀。一个拥有有超过4万名成员的沙特阿拉伯黑客组织“OurMine",声称对此次事件负责,不但到处吹嘘自己的战绩,还邀请扎克伯格加入他们的组织。
盗走扎克伯格的账号,看起来似乎很厉害。然而账号安全团队Secken(洋葱)的成员却表示,从目前的报道情况看来,黑客入侵扎克伯格的 twitter 账号似乎并没有使用什么高明的手法,他们使用的方法甚至只要是掌握了基本的计算机操作能力的人都能够轻而易举的完成。
简单却屡试不爽的盗号手法
相关报道中称,黑客自己承认了这次的成功盗号都得益于几周前大量泄密的 LinkedIn 密码。通过这一线索,可以初步判断黑客采用的是“撞库”的盗号手法。
所谓撞库,就是黑客获取用户的某个网站账号的密码后去其他网站尝试登录,如果用户在多个网站使用了同样的账号密码,那么黑客则可以入侵所有使用相同密码的的账号。打个比方,用户在许多地方的门上用的是同样的锁和同样的钥匙,只要拿到其中一把钥匙,就可以开启所有的门。
也就是说,当黑客拿到 LinkedIn的1.17亿个账号密码数据库后,会拿着这“1.17亿把钥匙”去不同的网站碰碰运气,撞库,撞到一个是一个。由于黑客可以使用程序脚本加快撞库的速度,所以基本上只要有人在多个网站使用了相同的账号密码,而其中任一网站将密码泄露,则其他网站几乎都难以幸免。
扎克伯格如今就是“被撞库大军”中的一员,他的的 Twitter 和 Pinterest 账号被盗,正是因为他在 Linked 和 Twitter、Pinterest 几家网站使用了同样的密码——“dadada”。而扎克伯格的 Google+(谷歌旗下的社交网站)和 Facebook 并没有被盗,则说明很可能使用了其他密码。
撞库盗号三步走
明白了撞库的原理就会发现,其实黑客此次盗走扎克伯格账号的手法并不需要太多技术含量,他们也许只做了这几步:
第一步,拿到LinkedIn泄露出来的数据库
几周前, LinkedIn 泄露的数据库就被放在了网上公开售卖,因此只要给钱谁都能买到。
即使不给钱也很容易在其他购买者手里分享到,一般大部分购买者都不会藏着掖着,会分享出来,甚至有的人会直接将解密后的明文账号密码数据分享出来。
第二步 解密数据并找到扎克伯格的密码
据了解,泄露出来的 LinkedIn的密码为SHA-1纯加密,在一些提供在线解密的网站就可以直接解密,解密之后所有的密码信息以明文的形式展现。而解密之后,根据扎克伯格的名字很容易就可以找到他的密码信息。
第三步,尝试登录扎克伯格的其他账号
拿到他的 LinkedIn 账号账号之后,直接去尝试登录他的其他社交账号、邮箱等,然后在多次尝试之后成功登录了Twitter和Pinterest。然后搞点小动作,坐等上头条。
正如前文所说,一个较为熟悉互联网的人,根据这三个步骤,都可以轻而易举地盗走扎克伯格的 twitter 账号。事实上,像扎克伯格所使用的“dadada”这样的简单密码,即使用最普通的暴力破解软件,也只需要不到半小时就能搞定。所以对于此次账号被盗,小扎自己的账号安全习惯是主要原因。
如何避免账号被盗的多米诺效应
其实,生活中许多人都有过类似账号被盗的经历,大部分人也已经习惯了在多个网站使用相同的密码。有的人使用一套密码,有的人则是3~4 套密码,最终都导致一样的结果:各种各样的网站账号关系交织混乱,无论使用了多么复杂的密码,只要其中一个网站不慎发生了密码泄露,其他网站账号都将受到牵连。甚至当你得知其中一个网站发生了数据泄露的消息,却根本无法准确地想起来哪些网站使用了相同的密码,更不用提逐个去修改。
防止账号相互牵连,Secken洋葱团队给出的建议是:“要么老老实实用不同的密码,要么别用密码,改用其他方式登录或者添加二步验证。”
给不同的账号设置不同的密码,显然是最直接有效的方式,然而当密码多起来之后,经常容易忘记,这时可以借助密码管理工具,然后将这些网站统一管理起来,这样既不用担心账号相互牵连,也不怕忘记。同时大部分的密码管理器还带有生成难破解的随机密码的功能,可以极大提高密码的安全性。常见的收费密码管理软件有1password、Lastpass等,免费的则可以使用洋葱。
如果依然觉得太麻烦,可以尽量使用非账号密码的方式来登录账号,比如微信、QQ、微博授权登录等,避免账号密码的使用,也就间接降低了密码被盗的风险。
事实上,不安全的密码习惯在工作中比在日常生活中更加常见。据Secken洋葱团队的调查数据,和私人的账号密码相比,人们在设置工作账号的密码时,往往更加“不上心”。许多员工使用自己的私人账号时会认真设置复杂的密码,使用工作账号却更倾向于使用简单以及相同的账号密码。
然而企业又难以强制员工使用复杂、不同的账号密码,即使强制使用复杂密码,员工一样可以写在便签上、放在云笔记等不安全的地方,而且强制使用复杂密码也必将大大降低员工的工作效率,输错密码、忘记密码等情况会出现的更频繁。
这时企业则可以在部署洋葱IAM 或其他验证方案,利用简单的手机认证或者人脸、声音、指纹的方式来替代账号密码,不使用密码,也就从根本上杜绝账号密码泄露,员工也免去了记忆密码和输入繁琐的烦恼。