乌克兰国防系统账号：admin，密码：123456

1

账户 admin？

前几天看到一个报道。

2018年5月乌克兰网络部队“第聂伯河”数据库专家，迪米特里·弗拉乔克（Власюк Дмитрий）发现，许多服务器通过一个标准的用户名和密码就可以访问，即“admin 123456”。

他当即就报告了值班人员，但这个报告很快就忽略了。

之后他还曾给乌克兰国家安全局（СБУ）打过电话，同样无回应。根据简历，弗拉乔克是乌克兰A1586军事单位的一名预备役军官。

也就是说，在2018年之前，任何人都可以用这个账户，登录一个国家的军事网站，很多机密文件随意阅览。

这个事情很有意思。

当然我们今天，不谈乌克兰的问题，主要看是和大家聊聊数据安全这件事，很多时候密码泄露在你想象不到的地方。

来给大家举个例子。

2

你的密码泄露了吗？

有这样的一个网站，叫做 have i been pwned?（我被骗了吗？）

这个网站名气很大，整个网站功能就只有一个：检测你的密码是否被泄露了？

那它是怎么检测的呢？

在互联网上出现过很多次大规模的密码泄露事件，这个网站就把这些被泄露的密码搞到了一个数据库。

当你输入邮件地址的时候，他会拿这个邮件地址和库里面的信息进行对比，如果发现有泄露，就会提醒你。

我相信很多人看完这篇文章，都会跑到这个网站去试一试，查查自己的密码是否有被泄露了。

像这样类似的网站有很多。

假设呀，我这里仅仅是假设！

如果我是一个黑客，我创建一个这样的网站，让大家输入密码检查是否泄露，顺便把你输入的密码记录下来。

然后再通过其它手段引导你输入邮件地址，比如说订阅一下我，定期通知你的密码是否被泄露等等。

也就说如果你在我的网站进行了检测，我就能记录下你的邮件和你输入的密码。

在生活中，很多人的密码是通用的，我只要记录下你输入的这个密码，大概率我就可以访问很多你的账号。

比如登录了你邮件，通过邮箱里面的邮件，我就知道了你都注册过哪些网站？再继续用这个邮箱和你输入的密码尝试登录其它平台。

比如百度网盘，看看你的小秘密；比如登录微博、知乎看你都发布了什么；登录你的支付宝转个小钱。。。

想想是不是很恐怖！

请警惕任何让你输入密码的地方，尽量不同的平台用不同的密码。

3

木桶效应

木桶效应，一个桶能装多少水，取决于木桶中最低的那块板。

其实做安全也是一样的。

我看到很多案例，特别是一些自建 IDC 的大型公司，花了几百万甚至几千万买了网络防护设备。

什么动态防火墙，F5 Web 应用防火墙，入侵防御、VPN、入侵检测系统（IDS）和入侵防御系统（IPS）等等。

结果和乌克兰的这个案例一样，密码设置的时候来了一个 abcd12345，这种非常常见的弱口令。

你有什么办法！

在黑客攻击中就有一种叫，社会工程学。

大家不要被这个高大上的名字给骗了，社会工程学的本质就是用各种各样的手段去套路你，骗子拿到他想拿到的信息。

我之前写过这样的文章：

《女明星因自拍瞳孔倒影暴露住址惨遭跟踪，一张照片是怎么出卖你？》

里面就有一个案例，为了得到你的地址，他会说给我发一下你家狗子的照片吧，照片不清晰可以发原图吗？

通过这种方式拿到原图，根据原图就可以解析到你的家庭住址。

类似的套路有很多，对黑客攻击感兴趣的同学，也可以看看我早年和黑客斗争写过的2篇文章：

《互联网金融大战黑客》

《我和黑客斗争的 6 天！》

最后给大家推荐一些解决方案吧。

我个人主要使用2个工具，第一个是 KeePass ，这是一个本地的密码管理软件，适合那种不相信网络的人。

一个是谷歌浏览器自带的密码管理，登录不同平台的时候会自动填入，省去很多的时间。

同时谷歌浏览器也会自动检测你的密码是否被泄露过，个人觉得谷歌的安全性比一些平台要好很多。

另外还有一个密码管理器比较推荐 lastpass，是一个在线的密码管理器，可以当做谷歌插件来使用，也挺方便的。

end