【扩散】你的12306信息或已泄露正被兜售 | 不要只用一个密码

富士手表微信公众号:
+ 关注
 


 知名互联网安全漏洞报告平台“乌云网”25日10时59分发布消息说,“大量12306用户数据在互联网疯传”。消息称,目前这些数据的泄露途径尚不确定,已将漏洞相关情况交由国家互联网应急中心。

  今天(25日)上午,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。

乌云网 截图

12306信息泄露情况 来自乌云-漏洞报告平台官方微博

  据了解,这则关于12306的漏洞报告,危害登记显示为“高”,漏洞类型则是“用户资料大量泄漏”,这意味着,这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露,而泄漏的途径目前还不知道。有说法是,目前已知的泄露量已经达到了14万组,但这个说法尚未得到官方证实。

  目前该漏洞已经提交给了国家互联网应急中心进行处理,暂无进一步消息。

  对此,中国铁路客户服务中心回应称,经我网站认真核查,此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。

  中国铁路客户服务中心还提醒,不要使用第三方抢票软件购票,或委托第三方网站购票。

  自本月21号起,网上开始销售2015年除夕火车票。随即,作为唯一网络渠道,12306网站迎来抢票最高峰。但遗憾的是和往年一样,这个斥资3亿开发的网站还是没有抗住压力,页面刷新缓慢、连续查询时出现“刷新失败”,甚至还会在关键时刻突然取消用户的登录。

  纵观12306网站多年的运营情况,2012年底该网站就曾因故障两次发公告暂停网上售票。如果说当时因为网站刚刚建立,尚缺乏运营经验导致问题频出还情有可原,如今,再次出现问题令众多网友对其感到愤怒。

以下为中国铁路客户服务中心回应全文:
关于提醒广大旅客使用12306官方网站购票的公告
针对互联网上出现“12306网站用户信息在互联网上疯传”的报道,经我网站认真核查,此泄露信息全部含有用户的明文密码.我网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。目前,公安机关已经介入调查。

我网站郑重提醒广大旅客,为保障广大用户的信息安全,请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。

同时,我网站提醒广大旅客,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请广大旅客注意。

身份证、账号及密码等信息泄露会带的严重影响已无需赘述。编者在这里要提醒的是:在现实生活中,淘宝、微博、邮箱、网银等需用户名及密码登陆的网站数十种,如你偷懒,重复使用同一密码,那有人一旦窃取了你的密码,就能推测出其他账号的密码。但密码太多,又很难记,怎么办?


1.对密码重要程度进行区分
  
  1:核心密码。包括邮箱,银行,PayPal,VPS.每个都不一样,共同点是至少十六位,有数字、大小写字母和特殊符号,与自己的任何实际信息都无关,至少半年换一次。建议采取特定的脑兼容算法来生成它,举例:
  取一个八字母的英文单词,比如 insanity
  将第一次出现的 S A E I O 替换为 $ 4 3 1 0,比如 insanity 变为 1n$4nity [1]
  将最后一个不是数字的英文字母变为大写,比如 1n$4nity 变为 1n$4nitY
  将这个英文单词映射为手机按键,比如 insanity 映射为 46726489
  将第 4 步得到的数字接在第 3 部后面,最后得到 1n$4nitY46726489

  2:一般密码。包括各种即时通讯和比较重要的社交站。采用核心密码算法的简化版本。可以用一个单词加上该服务的域名或服务商,套用算法的前三步,比如 QQ 就是 1n$4nitYt3ncenT 。

  3:可弃密码。比如注册各种需要登录才能下载或者阅读的论坛,就是一个弱口令,万年不换。这里重要的是用户名最好与上述两层级都不同。如果这个服务用过一段时间之后觉得不错,重新注册一个帐号,升级为一般密码。(——知乎用户:涛吴)


2.密码不是越复杂越好 方法对才行

  密码是不是越复杂越好?很不幸,答案是否定的。人们通常认为,把密码设得越复杂,别人就越难猜到,但这样一来无疑增加了记忆的难度。而对于那些企图窥探你秘密的人来说,他们也只是想不到,而非“猜不到”。现如今,还有几个人破译密码是靠大脑“猜”的呢?

保证密码强度的关键是什么?

  其实,上面的漫画已经给出了答案:密码长度。但实际上,又长有复杂的密码不容易记住。除了以上知乎网友分享的经验外,还能怎么设?

使用统一规则

  “用统一规则记住多个不同密码”是个不错的选择。毕竟记住一个规则比记住一串杂乱无序的字符要容易多了,也可以实现“一把钥匙开一扇门”的策略。举个例子,给出一个简单的密码设置规则(以电子信箱为例):
  [密码]=2*([用户名标识符(小写/大写)]+[用户名长度]+[.]+[网站标识符(大写/小写)])
  例:guokr123@gmail.com,密码为:gk8.GM GK8.gm
  songshuhui@hotmail.com 密码为:ssh10.HTSSH10.ht


你要是嫌复杂,那就来点简单的

  (1)某句短语或是某首歌曲副歌的首字母。比如说,如果你很喜欢The Jackson 5的那首成名曲 I Want You Back,就可以用“IWUB”。怎么记?当然是在心里哼唱一下这首歌啦。

  (2)用键盘上比较靠近的按键组合,比如说“yui”或是“zxcv”。要记住它就更简单啦——低头看下键盘就好。

  (3)用你另一半的名字首字母,或者你们的周年纪念日,比如“TFB0602”。这一方法还能带来其他好处:你再也不会忘记周年纪念日了吧!

  (4) 更安全的方法:选了一个容易记忆的基础密码之后,键入时将手指在键盘上再向上移一格。比如说,基础密码是“cat”,在稍作变化之后,就变成了“dq5”。基础密码选取工作完成后,再根据不同的服务商名来叠加不同信息就好。

不过,“处心积虑”设置一个复杂的密码,就真的安全了吗?

  1.再复杂,再难记的密码,你用到了一个不安全的网站,一样是浮云。比如你使用一个16+以上包含所谓的大小写英文字母/还有数字特殊字符,用到一个没有加密的网站,网站被黑客黑了,你的密码也就泄露了。

  2.对于国内的网站的安全现状,不是密码的复杂度的问题,而是如何保证你重要密码,比如银行密码,在线支付密码,重要的即时通讯工具密码,比如qq、msn等,提供商不会被黑泄露你的密码。
——知乎用户:Neeao,阿里巴巴集团安全专家

讲了这么多,原来是:记住密码靠自己,泄露密码看人品!只能帮到这了!

内容来自网络,版权归原作者!

上一篇美文     回目录页     查看手表相册