密码泄露对您意味着什么

三家公司在过去的24小时里警告用户，他们的客户密码似乎在互联网上浮动，包括在一个俄罗斯论坛上，黑客吹嘘破解他们。 我怀疑更多的公司也会效仿。

好奇这对你意味着什么？ 继续读。

到底发生了什么？ 本周早些时候，在提供破解密码工具的Inside Pro.com的俄罗斯黑客论坛上发现了一个文件，其中包含650万个密码和150万个密码。 根据论坛线程的截图，使用“dwdm”的人已经发布了原始列表，并要求其他人帮助破解密码，该线程已经离线。 密码不是纯文本的，而是被一种叫做“散列”的技术所掩盖。 密码中的字符串包括对Linked In和eHonomy的引用，因此安全专家怀疑他们来自这些网站，甚至在这些公司昨天确认他们的用户密码被泄露之前。 今天，CNET的母公司CBS拥有的Last.fm也宣布，其网站上使用的密码属于泄密者。

出什么事了？ 受影响的公司没有提供关于其用户密码如何落入恶意黑客手中的信息。 到目前为止，只有Linked In提供了它用于保护密码的方法的任何细节。 Linked In说，使用SHA-1散列算法，其网站上的密码被模糊了。

如果密码被散列了，为什么它们不安全？ 安全专家说，Linked In的密码散列也应该被“盐化”，使用的术语听起来更像是我们在谈论南方烹饪，而不是密码技术。 未加盐的散列密码仍然可以使用自动暴力工具破解，该工具将明文密码转换为散列，然后检查散列是否出现在密码文件的任何地方。 因此，对于常见的密码，如“12345”或“密码”，黑客只需要破解一次代码就可以解锁所有使用相同密码的帐户的密码。 Salting增加了另一层保护，在散列密码之前将一串随机字符包含在密码中，这样每个密码都有一个唯一的散列。 这意味着黑客将不得不尝试单独破解每个用户的密码，即使有很多重复的密码。 这增加了破解密码的时间和精力。

该公司说，Linked In的密码已经被修改过，但没有加盐。 从今天下午开始，Linked In博客上的一篇文章说，由于密码泄露，公司现在正在对数据库中存储密码的所有信息进行销售。 与此同时，last.fm和eHonomy尚未披露他们是否对网站上使用的密码进行了散列或加密。

为什么存储客户数据的公司不使用这些标准密码技术？ 这是个好问题。 我问密码学研究的总裁兼首席科学家保罗·科彻，是否存在经济或其他抑制因素，他说：“没有成本。 如果那样的话，可能需要10分钟的工程时间。” 他推测，实施这项计划的工程师“不熟悉大多数人是如何做到的”。 我问Linked In为什么他们以前没有加盐密码，并被提到这两个博客：这里和这里，这不回答问题。

除了密码学的不足，安全专家说，这些公司应该加强他们的网络，以便黑客无法进入。 这些公司尚未披露密码是如何被泄露的，但鉴于所涉及的帐户数量众多，很可能有人闯入他们的服务器，可能是利用漏洞，并窃取数据，而不是由于一些成功的、大规模的钓鱼攻击。

我的用户名也被偷了吗？ 仅仅因为与密码相关的用户名没有被发布到黑客论坛并不意味着它们也没有被盗。 事实上，用户名和密码等账户数据通常存储在一起，因此黑客很可能知道他们登录受影响账户所需的一切。 Linked In不会说用户名是否被暴露，但会说电子邮件地址和密码被用来登录帐户，并且没有发布与密码相关的电子邮件登录，他们知道。 此外，该公司表示，它没有收到任何“经核实的报告”，未经授权访问任何成员的帐户，因为违反。

我该怎么办？ Linked In和EHonomy表示，他们已经禁用了受影响帐户上的密码，并将跟进一封电子邮件，其中包括重置密码的说明。 该公司表示，Linked In的电子邮件将不包括直接链接到该网站，因此用户将不得不通过一个新的浏览器窗口访问该网站。 这是因为钓鱼电子邮件经常在电子邮件中使用链接。 网络钓鱼骗子已经在利用消费者对密码泄露的担忧，并在看起来像是来自Linked In的电子邮件中向恶意网站发送链接。 last.fm敦促其所有用户登录网站并在设置页面上更改密码，并表示它永远不会发送带有直接链接的电子邮件来更新设置或请求密码。 就我个人而言，我建议您更改密码，如果您使用任何已经发出警告的网站，以防万一。 仅仅因为你的密码不在泄露的名单上并不意味着它没有被偷，安全专家怀疑这些名单没有完成。

所以，你已经在网站上更改了密码，别放松。 如果您回收了密码并将其用于其他帐户，您也需要在那里更改它。 黑客知道，人们为了方便而在多个网站上重复使用密码。 因此，当他们知道一个密码时，他们可以很容易地检查你是否在另一个更关键的网站上使用它，比如银行网站。 如果您的密码在另一个站点上远程相似，您应该更改它。 不难发现，如果您使用“123Linked in”，您也可以使用“123Paypal”。 如果您对您的密码是否被泄露感到好奇，密码管理器提供者LastPass已经创建了一个站点，您可以在该站点中键入密码并查看它是否在泄露的密码列表中。

我可以写一个很长的故事，关于选择强大的密码（实际上，我已经有了），但一些基本的技巧是选择一个长的，至少说六个字符；避免字典单词，选择混合小写和大写字母、符号和数字；每隔几个月更改密码。 如果你明智地选择了强的，你可能无法记住它们，所以这里有一些工具的建议，帮助你管理密码。 （我的同事唐娜·谭在这篇文章中也有专家的建议。）

我如何知道一个网站是否正在保护我的密码，如果违反了？ 安全和隐私研究人员Ashkan Soltani说：“你没有。 他说，大多数网站都不透露自己的安全措施，而是向人们保证他们采取了“合理的措施”来保护用户隐私。 没有最低安全标准，一般网站需要遵循，就像银行和其他金融网站一样，为主要信用卡公司处理持卡人信息。 许多接受支付的网站将交易的处理外包给其他公司，然后受支付卡行业数据安全标准(PCIDSS)的约束。 在PCI认证之外，没有可靠的安全批准印章，特别是人们可以查看来决定是否信任一个网站。 也许，如果这些大网站上有足够的数据漏洞，人们每天都在使用，人们就会开始要求这些公司加强他们的安全措施，立法者也会制定安全标准。 可能吧。

我有高级会员。 我该担心吗？ Linked In发言人奥哈拉告诉CNET，“据我们所知，除了密码列表之外，没有其他个人信息被泄露。” 目前还不清楚eHonomy和Last.fm的情况，后者也提供付费订阅。 这些网站的代表尚未回答问题。 安全公司AVG有一个很好的提示，保护信用卡数据时，使用基于网络的网站，可能成为黑客攻击的猎物。 “如果你订阅了在线服务，如Linked In或另一个网站的高级服务，就只为在线购买而预留信用卡，这样一旦它被破坏，你就可以提醒一家信用卡公司违规。”AVG安全传道者TonyAnscombe在博客中写道。 不要使用自动取款机卡购买，因为你可能会在几个小时到几天的任何地方无法获得现金。

除了我的密码，我的帐户中还有哪些信息是敏感的？ 黑客可能已经使用了受损的密码来访问至少一些帐户。 一旦进入，黑客可以扮演帐户持有人的角色，并向网站上的其他人发送消息，如果你在你的个人资料中提供了你的电子邮件和其他联系信息，以及你和其他人之间发送的联系人的姓名和内容，这些信息可能包含敏感信息。 在那里有大量的信息可以用来攻击你的社会工程攻击，甚至可以帮助进行企业间谍，因为Linked In社交网站的专业重点。