软件制造商Citrix近日承认公司因国际黑客窃取大量数据，现已沦为数据泄露的新受害者。美国联邦调查局（FBI）已经就此事和公司取得联系，并警告称本次网络攻击行为极有可能是伊朗黑客组织所为，约有6TB至10TB的商业文件被窃取。

图片来自于 Flickr

针对本次安全事件，Citrix已经采取积极措施。公司表示：“我们已经全面配合FBI开展调查，并且聘请了一家专业领先的网络安全公司提供协助，巩固我们的内部网络。”随后补充道没有任何迹象表明Citrix的产品或者服务受到了损害，但也承认并不清楚黑客到底访问了哪些文件，以及有多少文件被访问过。

Resecurity总裁查尔斯·尤（Charles Yoo）表示，有证据表明黑客大约在10年前首次攻击Citrix的网络，并且此后一直处于等待状态。这些被盗的文件主要和FBI、NASA、航空航天业，以及沙特阿拉伯国拥有石油的公司有关。

而造成此次泄露事件的关键要素又回到了我们经常谈到的“弱密码”，披露的细节显示，黑客使用了一种名为“password spraying”的策略，利用弱密码获取有限的访问权限，然后努力绕过其他安全系统。弱密码不只被用户广泛使用着，甚至连一些有名的公司也会犯同样的错误。

尽管前不久万维网联盟（W3C）与 FIDO 联盟宣布，新标准WebAuthn让我们无需担心泄密问题，哪怕被入侵者跟踪到用户行为，也无法轻易取得Web 准入资格，传统的钓鱼攻击也会变得更加困难。（详情戳：新！Web身份验证新标，支持免密登陆）

不过目前，WebAuthn 只在Dropbox、Facebook、Github、Salesforce、Stripe 和Twitter等网站上实现了。因此，并非所有网站都可以实现如此安全的免密登陆。

那么，在WebAuthn 被普及之前，更多的人仍然需要警惕存在风险和危险的弱密码。

使用密码短语，而非单纯的密码

密码短语的关键是将词或短语连在一起，形成一个长的短语，最好选择一个自己容易记住但他人很难猜到或破解的短语，入一些随机的符号和字符，进一步加强安全性。

例如：mydogfido’sbirthdayisnovember19

使用双因素验证加强密码安全

双因素验证可以把你知道的一些信息（你的密码）与你拥有的东西（你的电话）或你具有的特征（你的指纹），甚至是你所在的地方（你的位置）结合起来。

其在于，如果你的密码不知何故泄露了出去，那么在不知道双因素验证信息的情况下，攻击者还是无法登录你的帐户。

在工具箱中加入密码管理器

实际上，如果没有什么东西来帮助记忆、整理和创建密码，很难养成良好的密码习惯，那就选择一款密码管理器。

你可以从我们之前的文章中选择一款你会更感兴趣的密码管理器，详情戳：《4款好用的密码管理器，你值得拥有》

在无密码登陆时代来临前，密码仍然是保护网络安全的重要部分，无论对于个人还是企业，都至关重要，警惕弱密码！

参考来源：

• cnBeta.COM

• lastpass

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文，了解更多~