Gawker攻擊事件暴露密碼保護缺陷

導語：國外媒體今天撰文稱，美國網路媒體公司Gawker Media的黑客攻擊事件暴露出，在不同網站使用相同使用者名稱和密碼的安全隱患。

以下為文章全文：

Gawker Media一週前遭遇的黑客攻擊凸顯出網路生活日益頻繁所帶來的安全風險：在多家網站使用相同的使用者名稱密碼雖然很方便，但卻會面臨很高的代價。

在Gawker、Gizmodo和Jezebel等部落格遭遇攻擊後，曝光了140萬人的賬戶資訊，並使得一些並未遭遇攻擊的網站凍結使用者賬戶，迫使使用者重設密碼。

Gawker Media本身並不擁有所有的使用者敏感資料，但是被曝光的使用者名稱和密碼卻有可能牽扯到其他網站的一些更有價值的賬戶，包括電子郵件和銀行賬戶。

Twitter、谷歌和雅虎等網站也看到了本次攻擊事件的影響，並且開始部署密碼重置工作，給使用者帶來了麻煩。

美國安全軟體廠商賽門鐵克高階產品經理傑夫·博斯坦(Jeff Burstein)說：“這揭露了密碼的一個根本問題——被反覆用於多家網站。”

儘管安全廠商反覆警告使用者不要在多家網站使用相同密碼，但為了易於管理，使用者還是習慣於這樣做。一名使用者可能擁有數十，甚至上百個賬號，包括電子郵件、Facebook、Twitter、電子商務、銀行以及新聞和部落格網站。

儘管賬戶資訊一直都存在被黑客竊取的可能，但Gawker Media本次遭遇的攻擊卻尤其值得關注，因為黑客將竊取的資料免費公佈在網上。在其他的類似事件中，被竊資料不會公佈，而是會通過地下渠道交易。

由於這些資料庫免費對外開放，其他網站也能夠了解這些資料，並與自家使用者匹配。

在黑客利用Gawker Media的資料入侵Twitter賬戶並推廣垃圾資訊後，擁有1.75億使用者的Twitter重置了部分使用者賬戶。

雅虎和谷歌這兩家全球規模最大的電子郵件服務提供商也重置了部分使用者密碼。但這兩家公司均未披露受影響使用者的數量。谷歌表示，只有“極少數”使用者受此影響。

擁有8500萬使用者的美國職業社交網站LinkedIn也對一小部分使用者密碼進行了重置。

還有部分網站表示，此事未對他們產生影響，因為他們不僅依靠密碼確保使用者安全。例如，摩根大通表示，沒有必要更改任何密碼，因為該銀行擁有“多個安全層”。

除了使用者名稱和密碼外，銀行通常還會通過安全提問等措施來保障安全性，尤其是當使用者首次從某臺電腦登入賬戶時。

那麼怎樣才能更好地保護使用者呢？安全專家認為，Gawker Media的攻擊事件表明，是時候採取密碼以外的保護措施了。但對於已經習慣了使用使用者名稱和密碼登入賬戶的人而言，採取更多安全措施會給他們帶來不便。

部分網站要求使用者設定強力密碼，增大“暴力破解”的難度。但這些要求同樣也會增加使用者記憶密碼的難度，而且還會增加使用者在多個網站上使用同一密碼的可能性。

一些利用手機提供安全保障的工具可以更好地避免陌生人入侵使用者賬戶。使用者可以通過手機接收確認碼，只有在網站上輸入該確認碼後，才能登入。通過這種方式，就可以有效避免黑客入侵。

博斯坦表示，如果這類額外的安全措施過於繁瑣，便會適得其反。但是他認為，通過手機增加安全性的方式已經被普遍接受。

本文轉載自：http://tech.sina.com.cn/i/2010-12-20/09275004157.shtml