Gawker攻击事件暴露密码保护缺陷

Gawker Media一周前遭遇的黑客攻击凸显出网络生活日益频繁所带来的安全风险：在多家网站使用相同的用户名密码虽然很方便，但却会面临很高的代价。

　　在Gawker、Gizmodo和Jezebel等博客遭遇攻击后，曝光了140万人的账户信息，并使得一些并未遭遇攻击的网站冻结用户账户，迫使用户重设密码。

　　Gawker Media本身并不拥有所有的用户敏感数据，但是被曝光的用户名和密码却有可能牵扯到其他网站的一些更有价值的账户，包括电子邮件和银行账户。

　　Twitter、谷歌和雅虎等网站也看到了本次攻击事件的影响，并且开始部署密码重置工作，给用户带来了麻烦。

　　美国安全软件厂商赛门铁克高级产品经理杰夫·博斯坦(Jeff Burstein)说：“这揭露了密码的一个根本问题——被反复用于多家网站。”

　　尽管安全厂商反复警告用户不要在多家网站使用相同密码，但为了易于管理，用户还是习惯于这样做。一名用户可能拥有数十，甚至上百个账号，包括电子邮件、Facebook、Twitter、电子商务、银行以及新闻和博客网站。

　　尽管账户信息一直都存在被黑客窃取的可能，但Gawker Media本次遭遇的攻击却尤其值得关注，因为黑客将窃取的数据免费公布在网上。在其他的类似事件中，被窃数据不会公布，而是会通过地下渠道交易。

　　由于这些数据库免费对外开放，其他网站也能够了解这些数据，并与自家用户匹配。

　　在黑客利用Gawker Media的数据入侵Twitter账户并推广垃圾信息后，拥有1.75亿用户的Twitter重置了部分用户账户。

　　雅虎和谷歌这两家全球规模最大的电子邮件服务提供商也重置了部分用户密码。但这两家公司均未披露受影响用户的数量。谷歌表示，只有“极少数”用户受此影响。

　　拥有8500万用户的美国职业社交网站LinkedIn也对一小部分用户密码进行了重置。

　　还有部分网站表示，此事未对他们产生影响，因为他们不仅依靠密码确保用户安全。例如，摩根大通表示，没有必要更改任何密码，因为该银行拥有“多个安全层”。

　　除了用户名和密码外，银行通常还会通过安全提问等措施来保障安全性，尤其是当用户首次从某台电脑登录账户时。

　　那么怎样才能更好地保护用户呢？安全专家认为，Gawker Media的攻击事件表明，是时候采取密码以外的保护措施了。但对于已经习惯了使用用户名和密码登录账户的人而言，采取更多安全措施会给他们带来不便。

　　部分网站要求用户设置强力密码，增大“暴力破解”的难度。但这些要求同样也会增加用户记忆密码的难度，而且还会增加用户在多个网站上使用同一密码的可能性。

　　一些利用手机提供安全保障的工具可以更好地避免陌生人入侵用户账户。用户可以通过手机接收确认码，只有在网站上输入该确认码后，才能登录。通过这种方式，就可以有效避免黑客入侵。

　　博斯坦表示，如果这类额外的安全措施过于繁琐，便会适得其反。但是他认为，通过手机增加安全性的方式已经被普遍接受。

◆来源：新浪

◆本文版权归原作者所有，如有侵权请联系我们及时删除