还记得2010年的Gawker Media密码泄漏事件吗?

Gizmodo于近期发布了一份2014年最差密码排行榜,并自鸣得意地对那些采用简单结构登录凭证的”傻瓜们”大肆嘲弄了一番。有些讽刺的是,这似乎在提醒人们作为Gizmodo母公司的Gawker Media曾经是薄弱密码管理方面的”典范”。在2010年,网络攻击者通过病毒感染Gawker网络,致使其20万个薄弱密码遭到解密。将Gizmodo嘲讽的对象与其母公司在2010年所遭受的读者密码泄露事件进行一番对比难道还不够有趣吗? 有趣的是,在今年的最差密码排行榜中,排名前25位的密码中有16个密码也同样是2010年Gawker数据外泄事件中最常用的密码。如果我们再统计一下Gawker外泄事件中最常用的50个密码,其中仅有4个新密码未同时包含在两份榜单中。如果设置的密码是”access”、”mustang”或纯数字”696969″,那么恭喜你,此类密码的安全强度要高于大多数密码。 从2010年的@ Gawker #密码外泄#事件到今年发布的最差#密码#排行榜之间并无太大改变 该榜单集合了包含今年数据外泄的所有登录凭证,由安全公司SplashData负责收集和整理。如下所示,SplashData每年都会发布这样的一些榜单,并注明每个的密码排名位置和去年相比是否发生改变,是上升、下降还是保持不变。对于那些同样在Gawker密码外泄事件中排名前50位的密码,我用星号进行标标注。 1. 123456(排名未变)* 2. password(排名未变)* 3. 12345(上升17位)* 4. 12345678(下降1位)* 5. qwerty(下降1位)* 6. 123456789(排名未变) 7. 1234(上升9位)* 8. baseball(新晋上榜)* 9. dragon(新晋上榜)* 10. football(新晋上榜)* 11. 1234567(下降4位)* 12.

Gizmodo于近期发布了一份2014年最差密码排行榜,并自鸣得意地对那些采用简单结构登录凭证的”傻瓜们”大肆嘲弄了一番。有些讽刺的是,这似乎在提醒人们作为Gizmodo母公司的Gawker Media曾经是薄弱密码管理方面的”典范”。在2010年,网络攻击者通过病毒感染Gawker网络,致使其20万个薄弱密码遭到解密。将Gizmodo嘲讽的对象与其母公司在2010年所遭受的读者密码泄露事件进行一番对比难道还不够有趣吗?

有趣的是,在今年的最差密码排行榜中,排名前25位的密码中有16个密码也同样是2010年Gawker数据外泄事件中最常用的密码。如果我们再统计一下Gawker外泄事件中最常用的50个密码,其中仅有4个新密码未同时包含在两份榜单中。如果设置的密码是”access”、”mustang”或纯数字”696969″,那么恭喜你,此类密码的安全强度要高于大多数密码。

从2010年的@ Gawker #密码外泄#事件到今年发布的最差#密码#排行榜之间并无太大改变

该榜单集合了包含今年数据外泄的所有登录凭证,由安全公司SplashData负责收集和整理。如下所示,SplashData每年都会发布这样的一些榜单,并注明每个的密码排名位置和去年相比是否发生改变,是上升、下降还是保持不变。对于那些同样在Gawker密码外泄事件中排名前50位的密码,我用星号进行标标注。

1. 123456(排名未变)*
2. password(排名未变)*
3. 12345(上升17位)*
4. 12345678(下降1位)*
5. qwerty(下降1位)*
6. 123456789(排名未变)
7. 1234(上升9位)*
8. baseball(新晋上榜)*
9. dragon(新晋上榜)*
10. football(新晋上榜)*
11. 1234567(下降4位)*
12. monkey(上升5位)*
13. letmein(上升1位)*
14. abc123(下降9位)*
15. 111111(下降8)*
16. mustang(新晋上榜)
17. access(新晋上榜)
18. shadow(排名未变)*
19. master(新晋上榜)*
20. michael(新晋上榜)*
21. superman(新晋上榜)*
22. 696969(新晋上榜)
23. 123123(下降12位)*
24. batman(新晋上榜)*
25. trustno1(下降1位)*

有趣的是,80%的”新晋上榜”密码事实上早已出现在了4年前Gawker密码外泄事件中前50个密码的清单中。同样有趣的是,尽管密码”123456789″是SplashData所发布最差密码榜单的常客,却并未出现在不光彩的Gawker密码外泄前50位的榜单中。

公平地说,Gawker被泄露的密码是经过加密的。只是碰巧188,000个密码因结构过于简单,才造成这些数学算法被轻松解密。加密的密码存放区仅达到最低的安全要求。我们从Gawker黑客事件中学到了即使是技术高超的公司也不善于密码管理。

这一事件的寓意即不新颖也没有什么启示性的东西:只是人们都不擅长设置高强度密码而已。

这一事件的寓意即不新颖也没有什么启示性的东西:只是人们都极其不擅长设置高强度密码而已。说得再宽泛一点,总的来说人们也极其不善于安全防范。这也是为什么技术和安全行业需要将通过自身努力来改变现状的原因。你不能因数据外泄而对用户大加指责,就像你无法责怪这一榜单的始作俑者或泄露数千张好莱坞明星照片的黑客。

我完全可以告诉你,事实上,我已经告诉你如何创建一个强度高且容易记忆的密码。这根本不是什么复杂的事情。而每个人其实都十分清楚如何创建一个牢固的密码。我们知道薄弱密码的危险性并对此嗤之以鼻;我们也知道如何创建一个牢固的密码,但有时只是因为密码过多而懒于管理。

这也是为什么Twitter如此大力开发”Digits”认证技术的原因,苹果开发TouchID也是一样的道理,当然也包括一些前景可观的生物识别、短信或双重认证技术。虽然我们清楚知道这些认证技术也并非完美,但这让我们有机会体验新的认证方式,从而有可能放弃使用缺点突出的认证方式:密码认证。

银行卡欺诈:针对ATM机的犯罪活动

我们都知道需要小心提防扒手。尽管早期儿童教育并没有教给孩子如何在外面时盯紧自己口袋,但生活的经历教会了他们这些简单的道理。同样的道理也适用于网络黑客。如今,互联网上铺天盖地有关网络黑客活动的报道,即使是儿童也略知一二。 但有关”盗读者”的新闻却鲜有报道,因此很容易让你不知不觉地落入此类网络犯罪活动的圈套。这些盗读者借助安装在ATM机上的微型隐秘硬件,专门从事盗取银行卡认证信息的犯罪活动。尽管警察、银行和支付系统都付出了巨大努力,但银行卡账户的盗窃金额依然呈上升趋势。 盗读者有点像扒手(都使用类似的手上技巧),在某种程度上也有点像网络黑客–他们所从事的犯罪活动完全依赖于一些高科技和PC电脑技术。 只要你使用ATM机提款就有可能成为他们的攻击目标。一旦你的银行卡内没有内置芯片,你的处境将十分危险:无芯片银行卡被盗读的风险要高得多。如果你没有订阅银行短信通知、将自己的银行卡随意插入街上看的任何ATM机以及将取现PIN码到处公开的话,这些都会让你成为盗读犯罪受害人的可能性更高。而你的这些愚蠢行为将让盗读者们暗自窃喜。 事实是,近些年来此类违法活动案件与日俱增,且所用技术不断进步。但犯罪原理仍然缺乏新意:使用隐秘技术读取银行卡磁条内数据,偷偷记录PIN码,将卡复制后清空该银行卡账户内的所有资金。然而,数据盗窃的技术却已突飞猛进。 完全商业化 以前,有一些盗读者还会将自制的银行卡读卡器和粗制滥造的硬件用在ATM机加钞盒上,冒着当场被抓的风险手动提取数据。但这样的时代早已过去了。随着这个”行业”的不断发展,动手自制工具的盗读者也已不复存在。如今,银行卡盗读变成了一项组织精良且高度自动化的犯罪活动。 这一犯罪链的第一环是现成硬件解决方案(由大量可用部件制作而成)的制造者和销售者。所有交易均在网上进行,并通过快递送到买家手中–对于犯罪分子而言这是最安全的方法。 想要验证盗读硬件是否真如想象得那般流行,只需在任何一个搜索引擎中输入一个简单的求购信息。这一套工具包括:可从一张塑料卡片内提取数据的隐秘读卡器、一块能够获取PIN码的伪造面板以及附带相应功能的复制卡设备,所有这一套售价通常在1500-2000美元之间。而信息科学专家Brian Krebbs估计这样一套工具在几年前的售价高达1万美元。 盗读工具的买家并不需要是精通技术的专业黑客:这些工具通常都会附带详细的操作手册,有些手册甚至还写有’最优方法’的内容。有些内容甚至详尽到列明了推荐使用的一次性电池型号,以确保读卡器能够电力充足,持续工作。 科技突飞猛进 技术进步加上巨大的需求,推动了用于违法活动的电子部件技术的飞速发展。一旦安全专家推荐采用何种特殊方法检查ATM机,那这种推荐的方法很快就会失效。 首先,经验丰富的犯罪提供商所出售的硬件几乎很难与ATM机原始部件区分。即使是再仔细的用户都无法分辨两者的区别:伪造的加钞盒无论是所用塑料的材质类型还是颜色都与合法的加钞盒一模一样。只是在形状上稍有不同。 之所以能如此逼真,是因为制造商精心仿制了大量广泛使用加钞盒模型(拥有众多客户的大型银行都使用这一模型)的ATM机元素。当然,银行本身也采用了反盗读技术作为应对方法。 其次,还有盗读者将读卡器手动放入加钞盒随后进入ATM机内部。这一新奇的小玩意引述自欧洲ATM安全团队(非营利性组织)近期所发表的报告中。更可怕的是,此类设备根本无需读取银行卡磁条—他们使用ATM机内的资源来读取。 手动提取数据也早已过时了。新型读卡器配备有通过普通蜂窝网络发送加密(你听的没错,盗读者也用这玩意!)磁条数据的GSM模块。 看好你的PIN码 一切准备就绪后,获取PIN码变成了最简单的一环。为了偷偷记录PIN码,犯罪分子只需使用微型隐秘摄像机甚至类似于iPod Touch(以细长Z高度和强劲电力而著称)这样的普通移动设备就能办到。 微型摄像机可以安装在ATM机按键上方或房间的其他位置。盗读者尤其钟情于银行用来摆放宣传资料的架子。作为银行的内部装饰,这些通常都被视为安全的。 然而,如果有取款人不小心用手挡住了镜头,则偷偷安装的微型摄像机将无法起到任何作用。此外所拍摄视频也无法很方便地发送和处理,并需要一些手动工作。 针对ATM机小键盘的细长伪造面板的价格正在变得越来越便宜,现在黑市的售价普遍低于1000欧元,这也造成此类犯罪案件数量的持续攀升。如此就算镜头被遮住–伪造面板也能检测你的PIN码。将4位PIN码通过短信发送至盗读者数据库相比处理一长段视频要容易许多,且整个过程几乎都是自动进行的。 当然,尽管盖在原始小键盘上的虚拟面板明显有凸起感,但几乎没有一个取款人会近距离检查键盘并仔细查看之间的缝隙。从上面看,整个结构看不出什么异常–伪造面板采用与原始ATM机键盘相同的钢材和优质涂漆。 此外盗读者还使用另一项技术,用来保护解码和复制的信息。这也是盗读者用防范其他竞争同行和执法人员的方法。 一旦密码错误,盗读软件将无法提醒用户输入PIN码错误–只是简单地关机了事。一旦这些错误密码交给警察,盗读者完全可以辩解说这个程序是一种无害的小软件。这样的手段真是”高明”… 而想要证明这是这是用于犯罪活动,执法人员必须聘请有资质的专家来分析这些代码,而这将使一个艰苦且旷日持久的过程。 依照上述所说的,科技只是犯罪案件的一部分。许多盗读操作依然采用的是手动方法,且风险极高。在接下来的博客中,我们将详细论此类案件中这一部分内容,同时还将为您提供一些安全小贴士以保护银行账户避免落入犯罪分子之手。

提示