查看原文
其他

忘记密码,是步入中年的标志,泄露密码,是陷入麻烦的开始

鹅师傅 腾讯安全战略研究 2022-05-19


大家好,我是鹅师傅。


各位朋友是什么时候开始觉得自己正在变老的呢?



是自己的娃能打酱油?

是开始考虑把白头发染黑?

是开始泡枸杞养生茶?

是没法一口气上五楼只能上三楼?

……


不,现在这届年轻人的衰老,是从忘记密码开始的。



不同的平台对密码有不同的要求:


字母与数字结合

至少8位

至少有一个大写字母

至少有一个特殊符号

不能跟用户名重复

……


各个网站、app 注册操作下来,日积月累,如果把这些账号、密码、密保信息记在本子里,可能比上学时的课堂笔记还要厚。


在登陆不常用的网站、app 时,也许你也和鹅师傅一样,经历过这个无穷循环:


设置密码 — 记住密码 — 忘记密码 — 找回密码 — 设置密码


这个无穷循环,让人心好累。


还是记不住这么多密码呀。


怎么办?用简单不费脑子的密码。


有人曾统计过全球用户最常用的密码 TOP10:


123456

123456789

qwerty

12345678

111111

1234567890

1234567

password

123123

987654321


更加可怕的是,这些榜单上的密码多年来一直顽强地稳居榜单,没有太多变化。



当然,稍有安全意识的朋友,可能会像曾经的鹅师傅一样,拥有过一套基于标准却随机应变的密码修改原则:

基础密码是:eshifu20150101(反例!使用姓名和生日)

需要大写密码:Eshifu20150101

只需六位数字:150101

需要特殊符号:eshifu@20150101

……


然而问题又来了,在输入密码时,我们往往会不记得各个网站的密码要求。


于是一次又一次的密码找回无穷循环中,密码使用原则逐渐变成了:全部网站都使用同一个密码。


一个密码行走互联网江湖很方便是不是?不过只要有一个平台的密码泄露,基本就是在互联网江湖里裸奔了。


简单来说,一个密码走天下 = 裸奔


然而不少网络犯罪,都与密码泄露密切相关。



    密码法草案出炉    


在与黑产的动态对抗中,互联网公司会不断升级使用新的技术、方法来防范黑客入侵盗取信息。


最近与密码相关的立法也有了新动态。


6月25日,十三届全国人大常委会第十一次会议召开,《密码法(草案)》提请审议,引发了广泛关注。


早在2017年,国家密码管理局将密码法的草案征求意见稿向社会公开征求意见。在广泛征求意见后,终于形成草案,并在2019年6月10日经国务院常务会议讨论通过。


密码法的草案规定,密码分为核心密码、普通密码和商用密码,实行分类管理。


其中核心密码、普通密码用于保护国家秘密信息,属于国家秘密,由密码管理部门依法统一管理


至于“商用密码”,所保护的信息不属于国家秘密,公民、法人和其他组织均可依法使用。


当然了,“密码”这个事物,并没有这么简单。


我们平常用于登录网站、app的,这些算是一种口令,是个人最简单、初级的身份认证


这些身份认证手段,是我们进入个人计算机、手机、邮箱、各类个人账号的“通行证”。


鹅师傅的小金库,鹅师傅和朋友们聊天的记录,鹅师傅在视频应用上的观看记录,这些都是鹅师傅的小秘密。要想查看、使用这些小秘密,就需要用到口令。但我们往往把这些口令称为“密码”。


密码法里所讲的“密码”,其实是使用特定的变换手段对信息进行加工处理、加密保护、安全认证或者检测的一系列产品、技术和服务。


密码主要功能有两个,分别是加密保护、安全认证


密码法草案还规定,公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。



为什么要设立密码法?


国家密码管理局局长李兆宗也对密码法草案进行了说明。


密码是国家重要战略资源,密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。


进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律,十分必要。


密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。


商用密码广泛应用于国民经济发展和社会生产生活方方面面,各个领域,在维护国家安全、促进经济社会发展、保护公民、法人和社会组织合法权益方面发挥着重要作用。

《法制日报》


商用密码可用于公民个人敏感信息、隐私和企业商业秘密保护。



    密码法的法律责任    


草案还规定了相应的法律责任,这将让密码保护有法可依。


草案明确规定,任何组织或者个人不得非法攻击他人的加密信息或者密码保障系统,不得利用密码从事危害国家安全、社会公共利益的活动,或者从事其他违法犯罪活动


草案第二十五条二款规定:


商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范和规则开展商用密码检测认证。


如若违反该条规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。


草案二十六条规定:


涉及国家安全、国计民生、社会公共利益的商用密码产品列入网络关键设备和网络安全专用产品目录,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。


违反二十六条规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的商用密码产品或者服务的,由市场监督管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款



     密码与网络犯罪    


在互联网犯罪中,有一种与密码密切相关的网络犯罪——撞库


所谓“撞库”,是一种针对数据库的攻击方式,黑产人员通过收集互联网已泄露的用户和密码信息,尝试批量登录其他网站后,得到一系列可以登录的用户账号。


鹅师傅不禁想起去年万豪酒店集团的那次超大规模数据泄露事件,用户预订数据库被入侵。



那次事件,不但涉及客户数量多达5亿人,而且泄漏的信息种类也非常多,包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好,甚至有支付卡号和支付卡有效期……


这种数据泄露,是妥妥的裸奔,泄露得干干净净连底裤都没有了。


然而更加可怕的是,酒店信息泄露除了开房信息可能被曝光,更“撞库”风险就更大了。



    如何管理密码    


总而言之,为了防止在互联网里裸奔,密码这个最最最最最基本初级的关卡一定要守护好:


  • 不要一个密码走天下

  • 不要把姓名、生日设为密码

  • 不要连接不安全的 Wi-Fi

  • 不要在不安全的网络环境里输入密码

  • 支付密码不与账号登录密码设为相同

  • 不要向他人透露短信验证码

  • 密码需要定时修改

否则,可能会被黑产扒光光。






  往期回顾  




我用过123456做密码

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存