账号安全归纳
随着网络的快速发展,出现了种类繁多的网络应用,包括E-mail、IM即时聊天工具(QQ、MSN)、网络商店、BBS论坛、网络游戏等。各类应用均需要身份识别,因此身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制的方式对合法注册用户进行授权。用户首先通过注册 (账号与密码)成为网络服务器的合法用户,只有通过身份认证的用户才能访问资源。账号与密码成为各类网络应用必不可少的一部分,与此
同时账号和密码所面临的安全问题也越来越多。例如,2011年某网站上600万用户资料可公开下载,而其存储密码的方式还是明文。同时,2015年某论坛泄露2300万用户的信息,泄露的2300万用户数据包括用户名、注册邮箱、加密后的密码等。2015年10月,某漏洞报告平台接到一起数据泄密报告后发布新漏洞,该漏洞显示某网站用户数据库疑似泄露,影响到过亿数据,泄露信息包括用户名、密码、密码密保信息、登录IP及用户生日等。
互联网上关于账号的安全问题日益凸显,本章总结的关于账号安全的相关漏洞包括密码泄漏、暴力破解、弱口令、密码重置、登录账号绕过、重放攻击、网络钓鱼、信息泄露、中间人攻击等。希望广大读者可以引以为鉴,不再出现此类问题。
账号安全相关案例
账号密码直接暴露在互联网上
GitHub是一个分布式的版本控制系统,开发者可以通过GitHub上传项目源代码。不过由于开发者的安全意识不足,可能会上传部分敏感信息,包括邮件的账号密码、数据库的配置信息、管理员的密码、备份文件、重要源代码等。通过搜索引擎可灵活查找各类敏感信息,搜索语法如下。
通过搜索引擎可灵活查找各类敏感信息,搜索语法如下。
(1) 邮件配置信息查询: site: Github.com smtp password;
(2)数据库