如今是网络的世道,相比本地文件泄密,因账号泄露造成的网络个人资源被监听的问题可能更加普遍。当用户的账号被别人获取后,监听往往在事主不知不觉中长期进行,直到某一天被察觉。如何做到网络账号的安全和资料的安全,通过一个典型案例的剖析,得出我们应该做的事情。
案例:A君手机某天忽然收到一条来自百度的短信,通知其修改百度通行证密保邮箱成功。又过了几分钟,A君发现正在运行中的百度网盘断线了,重新登录显示密码错误。而别的网络软件都处于正常登录状态中。于是,马上意识到,有人窃取了自己的126邮箱账号,然后修改了自己的百度密保邮箱,进而也影响到了自己的百度网盘。这是一连串的泄密事件,那么到底是如何发生的呢?
分析:原来这是一起因注册论坛不慎,126邮箱信息泄露引起的连锁泄密事件。由于A君在几小时前刚到一个私人论坛注册了一个账号,使用了自己常用的一个126邮箱,一切问题就从此而起。
1. 邮箱被窃取
一般来说,为了记忆方便,不少人在网上注册账号喜欢使用一个固定的邮箱。A君便是如此,他用一个网易邮箱xixifa@126.com(化名虚拟),密码为654321。为了便于记忆,注册论坛时也用了这个邮箱账号,且密码同样设为654321。由于密码相对简单,论坛不法人员用解密明文的办法或常见的枚举解密法,很容易就获得了用户的论坛登录密码。通过猜测用户的邮箱可能也用了这个密码,登录了用户126邮箱,发现邮箱中与百度账号相关的信息,从而确定A君的百度密保邮箱正是这个邮箱。于是不法者以此邮箱申请更改百度账号的密保邮箱而获得成功(图1)。
启示:邮箱和论坛账号用同一个账户名和相同的密码后果很可怕。在网上注册账号一般需要邮箱,用同一个邮箱没关系,但千万不要用邮箱的密码作为网络账号的密码。此外,密码设得过于简单(比如6位数字),很容易被不法分子通过字典枚举或其他解密方式解密,因此要尽量设置综合性比较强的复杂密码。
2. 空间被窃听
因126邮箱账号泄露造成百度通行证密保信息泄露,随后,不法者轻易将A君的百度密保邮箱修改为不法者自己的某个邮箱,并轻松登录A君的百度账号,修改了其登录密码。但万幸的是,由于A君在当初除了申请邮箱密保外,还申请了用手机号保护百度空间安全,所以才收到了百度的短信。由于手机密保的级别高于邮箱密保,所以A君立即用手机短信的方式改回了密保邮箱的权限,进而获得了百度通行证的权限(图2)。
启示:手机密保在关键时刻会起大作用,尽量给自己的重要网络账号申请手机密保。从本案例看出,如果只凭借一个密保邮箱,A君的账号这次恐怕很难找回了。窃密者可以取得用户的邮箱权限修改密保,但很难同时获取用户的手机使用权限。除非手机也被其盗窃。
3. 云盘内容被控制
由于许多人的百度网盘默认使用百度通行证的账号,因此,当百度通行证失窃之后,不法者可以轻松获得失窃者百度网盘的使用权限,造成百度网盘中的内容泄露,网盘无任何秘密可言。
小提示:
通过以上可知,网盘密码设得再复杂也不见得管用。不管网盘密码设得多么复杂,由于不法者获得了修改密码的权限,所以其不用关心原来的网盘密码是什么,即可轻松地给网盘赋予一个新的密码。既然网盘中的内容因此而没有安全可言,那么,对于存入网盘中的重要文件,先加密再存储非常重要。这样,即便是失窃了,别人看到了文件也无法解开或读取,就无形中给文件上了一道保险。
,
