乌克兰国防系统账号:admin,密码:123456
1
账户 admin?
前几天看到一个报道。
2018年5月乌克兰网络部队“第聂伯河”数据库专家,迪米特里·弗拉乔克(Власюк Дмитрий)发现,许多服务器通过一个标准的用户名和密码就可以访问,即“admin 123456”。
他当即就报告了值班人员,但这个报告很快就忽略了。
之后他还曾给乌克兰国家安全局(СБУ)打过电话,同样无回应。根据简历,弗拉乔克是乌克兰A1586军事单位的一名预备役军官。
也就是说,在2018年之前,任何人都可以用这个账户,登录一个国家的军事网站,很多机密文件随意阅览。
这个事情很有意思。
当然我们今天,不谈乌克兰的问题,主要看是和大家聊聊数据安全这件事,很多时候密码泄露在你想象不到的地方。
来给大家举个例子。
2
你的密码泄露了吗?
有这样的一个网站,叫做 have i been pwned?(我被骗了吗?)
这个网站名气很大,整个网站功能就只有一个:检测你的密码是否被泄露了?
3
木桶效应
木桶效应,一个桶能装多少水,取决于木桶中最低的那块板。
其实做安全也是一样的。
我看到很多案例,特别是一些自建 IDC 的大型公司,花了几百万甚至几千万买了网络防护设备。
什么动态防火墙,F5 Web 应用防火墙,入侵防御、VPN、入侵检测系统(IDS)和入侵防御系统(IPS)等等。
结果和乌克兰的这个案例一样,密码设置的时候来了一个 abcd12345,这种非常常见的弱口令。
你有什么办法!
在黑客攻击中就有一种叫,社会工程学。
大家不要被这个高大上的名字给骗了,社会工程学的本质就是用各种各样的手段去套路你,骗子拿到他想拿到的信息。
我之前写过这样的文章:
《女明星因自拍瞳孔倒影暴露住址惨遭跟踪,一张照片是怎么出卖你?》
里面就有一个案例,为了得到你的地址,他会说给我发一下你家狗子的照片吧,照片不清晰可以发原图吗?
通过这种方式拿到原图,根据原图就可以解析到你的家庭住址。
类似的套路有很多,对黑客攻击感兴趣的同学,也可以看看我早年和黑客斗争写过的2篇文章:
《互联网金融大战黑客》
《我和黑客斗争的 6 天!》
最后给大家推荐一些解决方案吧。
我个人主要使用2个工具,第一个是 KeePass ,这是一个本地的密码管理软件,适合那种不相信网络的人。
一个是谷歌浏览器自带的密码管理,登录不同平台的时候会自动填入,省去很多的时间。
同时谷歌浏览器也会自动检测你的密码是否被泄露过,个人觉得谷歌的安全性比一些平台要好很多。
另外还有一个密码管理器比较推荐 lastpass,是一个在线的密码管理器,可以当做谷歌插件来使用,也挺方便的。