V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
haopic
V2EX  ›  信息安全

密码重复使用 扎克伯格多个账户被黑

  •  
  •   haopic · 2016-06-06 09:58:08 +08:00 · 5374 次点击
    这是一个创建于 3084 天前的主题,其中的信息可能已经有所发展或是发生改变。

    周末,扎克伯格的推特、 Pinterest 和 Instagram 账户都被黑客攻破,因为他在这些网站都使用了与领英一样的密码,而领英 2012 年曾有超过 100 万密码被盗,不久前全部被传到了网上。研究发现, 55%的互联网用户都在自己注册的大多数网站使用同样的密码。

    26 条回复    2016-06-07 04:47:00 +08:00
    uyhyygyug1234
        1
    uyhyygyug1234  
       2016-06-06 10:01:20 +08:00 via Android
    哈哈哈,其实可以理解,都是人啊
    ibreaker
        2
    ibreaker  
       2016-06-06 10:14:55 +08:00
    要注册多少东西,记住那么多密码真是累呀
    czkwg8
        3
    czkwg8  
       2016-06-06 10:20:38 +08:00 via Android
    在下推荐小扎使用 1Password XD
    243205964
        4
    243205964  
       2016-06-06 10:20:44 +08:00 via Android
    所以用一个安全软件来帮我们记住多个复杂密码是很大的一个需求。
    ChiangDi
        5
    ChiangDi  
       2016-06-06 10:22:24 +08:00
    所以他 2012 年以来一直没有改过密码?
    jsonline
        6
    jsonline  
       2016-06-06 10:23:45 +08:00
    因为都不是他自己注册的。
    cylong
        7
    cylong  
       2016-06-06 10:34:59 +08:00 via Android
    晚上就用你们推荐的 1password !
    arens
        8
    arens  
       2016-06-06 10:35:59 +08:00
    @243205964

    这才是最危险的,真正的安全人员和黑客人员都明白,根本不存在安全软件,然而再强调安全,对外界来说无非是个嘲讽,况且这个安全平台还是做密码账号管理的,就呵呵了,就成了众矢之地,所以多少年来,一直没有一个敢号称安全的账号管理软件
    script2016
        9
    script2016  
       2016-06-06 10:38:31 +08:00
    其实搞 IT 的都知道要有安全意识,但真正做到的其实没几个。 PS :刚好周三要给公司全体员工做安全意识培训,感觉然并卵 T_T ~
    script2016
        10
    script2016  
       2016-06-06 10:43:03 +08:00
    @cylong 我一直在用 1password ,而且是花了 400+大洋买的正版,不过一般只是用来自动填充用,几乎很少使用自动生成密码功能(除非是一些敏感网站),因为你生成密码的话有时候 1password 保存不到用户名。。。
    dxfree
        11
    dxfree  
       2016-06-06 10:47:48 +08:00
    我的密码设计:前缀+后缀。
    前缀:复杂度够强,只需要设计 1 到 2 个;
    后缀:与登录站点或 app 相关联,方便联想;
    这样我不会用到相同的密码,自己也记得住。
    gaolycn
        12
    gaolycn  
       2016-06-06 10:56:12 +08:00
    @dxfree 你确定后缀没规律吗? 如果泄漏了一个, 另外的很有可能猜出来吧
    just4test
        13
    just4test  
       2016-06-06 11:14:29 +08:00
    @script2016 回头编辑一下不就好了。
    dxfree
        14
    dxfree  
       2016-06-06 11:21:13 +08:00
    @gaolycn 那是针对我个人密码的攻击 我又不是重要人物 可以忽略这种可能
    abelyao
        15
    abelyao  
       2016-06-06 11:23:53 +08:00
    @script2016
    不用 1P 自动生成密码还要用 1P 干嘛…
    New Item -> 填上名称 -> 填上用户名 -> Copy 自动生成的密码 -> 填上 URL -> 点 OK 保存。
    shuiandy
        16
    shuiandy  
       2016-06-06 13:54:38 +08:00
    @arens 从业人员表示三年前已经把自己所有账号交给 1password 保管,所有密码均由 1p 生成,绝不重复使用并定期更新。如果对 1p 不放心可以用 keepass 这种开源的密码管理软件。如果知道它们的实现原理就不会担心自己的密码库泄露,因为主密码只要不过于简单是几乎不可能被攻破的。相关案例是 Lastpass 出现了好几次泄漏事件,但并没有出现用户密码库被攻破的案件。
    从攻方角度来讲,如果是范围目标攻击,一个目标的帐户密码与其主要其他帐户密码不一样,几乎就可以放弃这个目标了。如果目标价值很大会考虑从其他方向社工,但基本不会考虑从密码这方面突破。
    简而言之,如果一个人正确使用密码管理软件且主密码够坚固,可以基本保证其密码的安全性,并大幅降低其被社工的可能性,对普通用户而言几乎可以免疫黑客对其帐户的威胁。
    9hills
        17
    9hills  
       2016-06-06 14:30:15 +08:00
    @arens Keepass 求攻破
    paradoxs
        18
    paradoxs  
       2016-06-06 14:33:30 +08:00
    lastpass 明显比 1p 好用
    密钥文件管理太麻烦了
    chenze
        19
    chenze  
       2016-06-06 14:36:10 +08:00
    his: A command-line-based password management tool

    https://github.com/chenze/his
    DaCong
        20
    DaCong  
       2016-06-06 15:13:21 +08:00
    就我一个人用 enpass 吗
    cxbig
        21
    cxbig  
       2016-06-06 15:59:36 +08:00
    @script2016 有些网站改密码的时候,新生成的密码不会直接更新,而是存成一个独立的临时密码记录,和该网站挂钩。转手存回去就行了。
    googlebot
        22
    googlebot  
       2016-06-06 16:07:05 +08:00 via Android
    lastpass ,主要是忘了提醒,

    lastpass 的是 search 还可以
    jyf007
        23
    jyf007  
       2016-06-06 19:51:41 +08:00 via Android
    keepass 可又 bt sync 乱同步
    wclebb
        24
    wclebb  
       2016-06-06 20:09:34 +08:00 via iPhone
    @jsonline 说得很对!
    wclebb
        25
    wclebb  
       2016-06-06 20:10:22 +08:00 via iPhone
    @script2016 转登陆啊……
    lslqtz
        26
    lslqtz  
       2016-06-07 04:47:00 +08:00 via iPhone
    各位要学会使用纸记录密码,有没有想过 1Password 等也可能偷偷给你上传(滑稽)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2504 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:01 · PVG 00:01 · LAX 08:01 · JFK 11:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.