12306用户资料泄露,我们该怎样保护自己

12306大量数据泄露

来源

今早乌云漏洞平台突然爆出了一个骇人听闻的消息:12306用户资料疑似大量泄漏,甚至有明文形式的密码,以及身份证、邮箱等敏感信息。
乌云漏洞信息:http://www.wooyun.org/bugs/wooyun-2014-088532

随后12306官方迅速做出回应,称该网站数据库的所有用户密码都是多次加密的非明文转换码,网上泄漏的应该来自其他渠道,同时提醒用户不要用第三方抢票软件,只上12306。

12306声明:http://www.12306.cn/mormhweb/zxdt/201412/t20141225_2448.html

原因

知道创宇确认12306数据泄露事件为“撞库攻击”:

所谓“撞库”,是一种针对数据库的攻击方式,通过攻击者所拥有数据库的数据通攻击目标数据库,可以理解为使用在A网站盗取的账户密码来登陆B网站,因为很多用户在不同网站使用的是相同的账号密码。
再打个比方,就是你从大楼保安那里复制了一大串钥匙,然后跑到隔壁同一家建筑公司、同一批设计人员造的楼里,一把把试着去开不同的门。

查询是否泄露

如果需要查看自己的信息是否泄露可以进入查询:http://cloud1.rsscc.com/gtgj/wap/act/20141225/act.html?scene=2&from=timeline&isappinstalled=0

这是我查询的结果,还好没有泄露


密码管理

出现问题的基本都是一个密码走天下的,这样太危险,根据网站的不同,最好还是设置不同的密码,但是自己记住密码又太麻烦,所以给推荐一个密码管理软件用用。

密码管理软件

目前主流的密码管理器有 LastPass、KeePass、1Password。它们的功能是:以后你只需要记住一个密码,其它服务的密码就靠软件帮你输入了。

KeePass 免费,只有 windows 客户端。其他平台的客户端都是支持者根据官方 源代码写出来的。它提供了一个界面来管理密码。这是一个开源软件。
LastPass 以浏览器扩展的形式帮你记住各种密码,提供跨平台客户端的免费版和每月一美元的高级版,高级版提供 iOS 、 Android、黑莓、Windows Mobile、HP WebOS、SymbianS60 等平台客户端。有中文界面。它与 KeePass 最大的区别就是,KeePass 没有浏览器扩展。(我正在使用的,个人觉得最方便的一个)
1Password 提供 Windows 和 Mac 系统的 30 天免费试用版和 $49.99 美元的收费版。仅仅支持 iOS 和 Android。这个在苹果系上评价最高,用mac和iphone的人建议使用。

安全性

那么将密码交给密码管理软件安全吗?这个很多人都想问,知乎上也有个讨论。可以看看。
LassPass的安全:

LastPass 使用 AES256 与 PBKDF2「哈希算法」加密技术将数据保存至本地,让木马盗取、暴力破解变得毫无可能,甚至是 LastPass 公司内部也无法获取你的任何帐号密码信息。以至于,当不小心遗忘 LastPass 登陆主密码后,他们也无法提供传统的密码找回功能,而只能将你注册帐号时所提交的「密码提示」重新发送至邮箱,帮助你回忆密码。所以,一方面你需要牢记自己的密码,从另一方面也能看出 LastPass 可靠的安全性。

注意:用LassPass最重要的就是这个它账号密码了,如果这个密码丢了,那你所有的密码都丢了,这个密码一定要尽量复杂,不要怕难记,因为你只需要记这一个密码。在这还建议,只用lasspass记录那些不设计钱财或者个人信息的网站,比如支付宝、QQ和微信等网站。

LastPass的使用

由于我是Windows加Android,所以我选择LassPass,很方便也很安全。分Windows和Android介绍。

Windows

LastPass 是以「浏览器插件」的形式存在的。无论使用 IE、Chrome、Firefox、Opera 或 Safari 进行网页浏览,LastPass 均提供持续更新的插件,方便用户在各种浏览器内部进行直接的安全管理、实时更新同步、快速填写表单等功能(下文会介绍)。而由于 Chrome / Opera / Firefox 均支持 Windows、Mac、Linux,也意味着 LastPass 同样支持三大主流系统。另外Windows下还有客户端,只不过不如浏览器实用。



上图就是PC上火狐上的一个截图,使用很方便,浏览网站时需要登录的话就会显示有匹配的密码,不用自己输入。



例如当我要登录Google时,点击就会出现账号密码,这样就可以直接登录,不用自己输入密码。

当你使用安装过 LastPass 插件的浏览器(如 Firefox)登录某个网页时,LastPass 会自动弹出提示,询问用户是否需要记忆该网站,以便下次登陆时使用该匹配密码,甚至直接自动登录该网站。


Android手机

Android中Lasspass能像电脑上一样自动填充Chrome上的网页,Firefox也可以下载插件,同样好用哦。

更好用的是,Android上还能自动填充其他应用,比如QQ或者微信之类的。

首次在 Android 手机登陆LastPass后,你就会看到一个「启用应用填入」的向导,根据提示即可打开功能。或者,你可以直接到手机的设置中找到「辅助功能」后,开启「LastPass」服务,服务开启 LastPass 的填入应用功能会同时打开。( 注意:若你使用的是 MIUI 系统,还需要进入手机的应用管理界面,找到 LastPass 并允许「显示悬浮窗」)

以登录QQ为例,展示 LastPass 在第三方 App 中是如何工作的。通过下图,你会发现 QQ 界面中会自动弹出「用 LastPass 填写」提示框。考虑到最佳的安全性,你需要先点击「复制用户名」,然后长按用户名输入框后粘贴,然后点击「复制密码」重复粘贴动作。


后记

现在网络上基本没有隐私可言,我们能做的就是尽量保护自己的隐私,注意自己密码的安全,而类似lasspass之类的密码管理软件是不错的选择。

对LassPass严重依赖的还可以购买正版,附上LassPass在国内唯一授权的经销商的地址:荔枝数码


微信公众号:lyishaou


12306用户资料泄露,我们该怎样保护自己_第1张图片
微信公众号

你可能感兴趣的:(12306用户资料泄露,我们该怎样保护自己)