可以肯定地說���,每隔一周�����,至少會(huì)有一次明顯的數(shù)據(jù)泄露事件發(fā)生。事實(shí)上,這種情況經(jīng)常發(fā)生,每天都有超過600萬(wàn)條記錄被盜�����,但誰(shuí)在計(jì)算呢?
區(qū)塊鏈能否消除密碼數(shù)據(jù)泄露事件
社交媒體占這些被盜記錄的76%也就不足為奇了��,因?yàn)槿藗兤骄刻旎?-10個(gè)小時(shí)在Twitter和Facebook等平臺(tái)上。
在安全性方面�����,幾乎所有這些平臺(tái)都有一個(gè)共同點(diǎn)——使用密碼��。不幸的是���,在2017年報(bào)告的所有數(shù)據(jù)泄露事件中�����,密碼泄露是導(dǎo)致這類事件發(fā)生的直接原因。很多時(shí)候���,黑客都是使用被盜密碼訪問敏感信息。
盡管絕大多數(shù)社交媒體賬戶屬于個(gè)人���,但他們并不是唯一容易被密碼數(shù)據(jù)泄露的賬戶。盡管采取了一些網(wǎng)絡(luò)安全措施���,但組織的密碼數(shù)據(jù)庫(kù)遭到黑客攻擊的頻率比大多數(shù)人想象的要高。
2016年��,Steemit的260個(gè)賬戶遭到黑客攻擊,造成8.5萬(wàn)美元損失�����。2011年��,索尼PlayStation Network的7700萬(wàn)個(gè)密碼被黑客竊取。2018年6月��,阿迪達(dá)斯也成為了200萬(wàn)客戶記錄泄露的受害者�����。
密碼是最薄弱的環(huán)節(jié)
事實(shí)上��,許多泄露都是人為錯(cuò)誤造成的。由于網(wǎng)絡(luò)釣魚和不小心使用公共電腦���,密碼都極有可能被盜。
選擇容易猜測(cè)的弱密碼�����,比如出生年份或常用單詞�����,也是助長(zhǎng)數(shù)據(jù)泄露的一個(gè)因素��。難以置信的是,2014年使用最多的密碼是“123456”���、“password”和“qwerty”。
雖然你可能想知道為什么有人會(huì)選擇這么簡(jiǎn)單的密碼���,因?yàn)橛幸粋€(gè)很好的理由是:它們很容易記住。
您可能使用過市場(chǎng)上許多密碼管理器中的一個(gè)��,比如LastPass�����,它在安全存儲(chǔ)用戶密碼數(shù)據(jù)方面非常流行���。這樣的管理器真的很有用,尤其是當(dāng)你懶得記住你的100萬(wàn)個(gè)社交賬戶的密碼時(shí)。然而��,只有一個(gè)大問題:它們也可以被黑客攻擊�����。
例如���,2015年黑客攻擊LastPass��,暴露了用戶密碼、電子郵件地址,甚至密碼提示��。另一個(gè)受歡迎的密碼管理軟件OneLogin也在2017年遭到入侵���。兩名管理人員都有相應(yīng)的措施來避免這種情況��,但由于密碼存儲(chǔ)在一個(gè)集中的位置���,黑客很容易訪問密碼并猜測(cè)薄弱的密碼��。
加密貨幣世界也不例外
顯然,即使是加密貨幣的世界也存在數(shù)據(jù)泄露情況。正如Cointelegraph在之前的一篇文章中所報(bào)道的那樣��,加密貨幣遭受黑客攻擊在2018年前9個(gè)月內(nèi)造成了約9.27億美元的損失���。
2018年6月���,全球第六大加密貨幣交易所Bithumb也遭到黑客攻擊�����。那次入侵讓Bithumb損失了價(jià)值約3,000萬(wàn)美元的加密貨幣��。
2018年被黑客攻擊的其他交易所包括Bitgrail、Bancor和Zaif���,它們的密碼損失分別為1.5億美元、1200萬(wàn)美元和5970萬(wàn)美元�����。
盡管一些交易所依賴于雙因素身份驗(yàn)證(2FA)來保護(hù)用戶帳戶���,但是與電子郵件地址和密碼相關(guān)的漏洞仍然存在�����。這些攻擊包括像網(wǎng)絡(luò)釣魚這樣的社會(huì)工程攻擊���。
那么��,這個(gè)世界還得繼續(xù)使用一個(gè)被視為不安全的體系多久呢?希望不會(huì)太久。
區(qū)塊鏈如何拯救這一天
傳統(tǒng)的密碼存儲(chǔ)數(shù)據(jù)庫(kù)是集中式的,可以從單一位置訪問。另一方面���,區(qū)塊鏈通常是分散的,這意味著它可以建模來存儲(chǔ)和驗(yàn)證數(shù)據(jù)�����,而不會(huì)出現(xiàn)單點(diǎn)故障�����。
這與用戶身份驗(yàn)證有什么關(guān)系?簡(jiǎn)單來說�����,即使用戶選擇弱密碼���,惡意參與者也很難從一個(gè)點(diǎn)訪問所有密碼數(shù)據(jù)�����。
一些區(qū)塊鏈公司已經(jīng)開始使用這種技術(shù)���。從Trezor Connect by Satoshi Labs到安全可靠的快速登錄(SQRL)�����,世界正迅速轉(zhuǎn)向無密碼登錄。這種技術(shù)證明根本不需要密碼和電子郵件地址��。
另一家初創(chuàng)公司REMME也在解決這個(gè)問題��,它將認(rèn)證過程中的人為因素完全剔除�����。
REMME不提供密碼,而是為每個(gè)設(shè)備提供一個(gè)惟一的SSL證書�����,該證書可以在其區(qū)塊鏈上進(jìn)行身份驗(yàn)證��。使用這種方法���,不需要服務(wù)器或密碼數(shù)據(jù)庫(kù)���,黑客沒有明確的目標(biāo)��。這確保了即使是網(wǎng)絡(luò)釣魚攻擊也變得毫無用處�����。
自從50多年前世界開始使用密碼進(jìn)行用戶身份驗(yàn)證以來�����,帳戶安全已經(jīng)取得了長(zhǎng)足的進(jìn)步�����。然而,它還有更長(zhǎng)的路要走�����。在我們徹底擺脫密碼之前��,個(gè)人和組織還需要遭受多少打擊?歸根結(jié)底���,世界是多么愿意拋棄舊技術(shù)���,擁抱新技術(shù)���。
《電鰻快報(bào)》
手機(jī)版
相關(guān)新聞