随着互联网的高速发展,网络购物,电子网络银行,社交社区,工作邮箱等等,很多私人私密的数据都是通过互联网来传送的,然而用户登录凭据频频泄密,数据库安全吗?这些年相信大家经常看到媒体报道,哪个网站的用户登录信息遭泄密,又有哪个网站的个人信息遭泄密。。。
每当类似的泄密信息流出,大家心中都捏着一把冷汗,我的信息遭泄密了吗?赶紧改。。。。。。
今天又有一位研究人员发现了一个命令控制数据库,里面有大量被盗的Facebook,Twitter,雅虎,ADP等用户登录凭据,而这仅仅是近几年各种泄露事件的最新发展。你别指望互联网服务可以保护你的密码;你自己保护密码。
这次发现曝光的两百万登录凭据被盗事件和近几年的其他泄露事件比起来简直小巫见大巫。Adobe的泄露事件就涉及1.5亿用户凭据。
发现了这个僵尸网络和密码数据库的Trustwave没有将其发布出来,但是其他被公布的数据库,你都可以直接搜索到。笔者发现两个网站可以搜索多个数据库。
Troy Hunt的Have I been pwned?( http://haveibeenpwned.com/)网站依靠一次搜索就合并了五次泄露事件的数据库:
152,445,165Adobe账户
859,777 Stratfor 账户
532,659 Gawker账户
453,427雅虎账户
37,103账户
输入邮箱地址,到这个网站来搜索,然后就可以看到结果。笔者有一个邮箱地址在Adobe数据库中,不过由于知道出现了数据泄露,所以笔者前段时间改了密码,而且也没有将其用到其他网站。
Hunt在其博客条目中说道,他之所以创建这个网站,主要是为了练习某些特定的Windows Azure技术,但他信任这个服务,希望这个有实际作用。他表示有计划添加新的数据库和新特性,如给予你警告提示,以防你的邮箱地址出现在某个数据库中,以及在某个域名中进行搜索的能力(如@zdnet.com)
另一个网站 Should I Change My Password? (https://shouldichangemypassword.com/) 是前端有偿服务。该网站可提供邮件提醒服务,名曰Email Watchdog邮件看门狗,而且这项服务是免费的。但是,如果你搜索某个地址,且这个地址存在与他们的数据库中,他们是不会给你出示详细信息的,只会告诉你这个地址是否在该数据库中:
看似很怪,因为他们“不能告诉你你的邮箱地址是在哪次事件是被泄露的。Haveibeenpwned.com则可以提供这项信息,因为这些信息保存的数据库是按事件记录的。Shouldichangemypassword.co只保存了密码,最近一次泄露事件的日期和泄露次数的哈希值(例如,被泄露到了几个数据库中)。这似乎用处不大。如果是从haveibeenpwned.com发现我的Adobe账户被泄露了,那么我只需更改密码。”
或许shouldichangemypassword.com(Avalanche Technology Group提供的服务)以后会把这一细节作为有偿服务的一部分提供给用户。
不论你的信息是否出现在这些数据库中,最好的策略还是设置高强度密码,而且为每个使用的服务设置不同的密码。光靠脑子是记不住这么多密码的,所以你需要一款密码管家。笔者使用LastPass,其他类似的工具还有1Password和RoboForm等等。
用户登录凭据频频泄密,数据库安全吗?IT大佬们不要一味着追求市场利润,网站数据库安全不容刻缓。
华军建议大家,平时不要注册一些模式的网站,互联网用户登陆凭证最好将网络银行账号密码、电子支付账号,工作邮箱登陆账号密码等等分别设置,不要使用一致的登陆信息,一旦个人信息遭泄密,损失太严重了。
重庆数据恢复 
