据国外媒体报道,最近国外一名黑客宣称自己是佩林雅虎邮箱的入侵者,并且公布了他实现入侵的整个过程。整个入侵过程简单的令人难以置信。
据黑客论坛4chan上的一个帖子表示,黑客并没有破解佩林的密码:他只是修改了它。
一位自称“Rubico”的用户表示,他只是使用了雅虎邮件的重设密码功能。
据他表示,这个服务只是询问了佩林的生日、邮政编码和她在哪儿与丈夫相识这三个问题,这是佩林设定的三个安全回答。随后该黑客通过使用搜索引擎在不到一个小时内就从互联网上找到了这些问题的答案。
不安全的安全问答
目前互联网上的密码重设功能基本相似,都是有数个安全问题。有的是由用户自己设置问题,自己提供答案;有的则是提供固定问题,由用户从中选择几种后给出答案。
这里就存在着一个安全隐患:如果所提问题和答案过于简单、易于查询猜测的话,密码还是形同虚设。
这次佩林邮箱入侵事件,就是由于佩林属于公众人物,其自身信息相对公开度较大,易于被在网络搜索到。
所以,与其说是黑客入侵,不如说是不安全的安全问题,拱手把密码送给了黑客。
答非所问——让黑客无从下手
在密码安全保护上,我们也应该充分运用社会工程学,答非所问,让问题与答案根本就南辕北辙毫不相关。
比如,问题如果是“我的生日”,那么答案可以是自己的出生地“中国”,也可以用特殊方法书写生日(如果生日是1988年9月25日,那么答案可以写成,“5291988”,或者,“一酒发发,久爱我”)。
网络是一个信息大集合,我们的私人信息不定在什么时候就会被无意中泄露,所以安全防护要重视点滴之间,切不可由于自己的疏忽,给不法分子可乘之机。
