密码无处不在,如果不先登录帐号并输入密码,很多操作都没法完成。随著日常生活与网络的关系越来越密切,多少人能做到每一个网站使用不同的密码呢?
“卡巴斯基实验室”发布的最新研究调查显示,有一成的被调查者承认自己所有帐号都使用相同的密码,这种做法会非常切实地增加帐号泄露风险。如果所有帐号使用一个密码,那么只要有一个帐号泄露,所有帐号都会随之泄露。其中,网络游戏帐号也成了不法分子锁定的盗取目标。
90后玩家应该会记得区域网派对(最早的网络游戏),也不会忘了在网吧玩《绝对武力》(Counter-Strike)和《战栗时空》(Half-Life)的岁月。对于很多玩家来说,最早接触的多人游戏就是《绝对武力》。之后直到21世纪初,《魔兽世界》(World of Warcraft)游戏横空出世才彻底改变了一切。
以前从来没见在同一台服务器上有这么多的玩家!这是一个全新的世界,有无以计数的陌生人在购物、交谈、玩乐和相互打斗。那时候,人们不会有数十个电子邮箱、社交媒体、银行和游戏帐号,所以也不用记住那么多不同的密码。所有帐号使用相同密码是很常见的。向前快进10年,如今,高速互联网连接已经无处不在,几乎所有游戏都是联机游戏,或者至少有一个多人模式供玩家测试自己的技能,炫耀实力。另外其他方面也在进步。通过网络,几乎可以完成一切,包括游戏在内,但无一例外都需要创建帐号。
犯罪分子对于如何通过获取这些帐号来赚取不义之财十分老道。但是,有一点没有改变,那就是用户依然很懒,仍然把同一密码用于所有帐号,这是十分危险的。玩家们花了大把的精力和时间来磨炼游戏技能,随著在游戏中不断升级,玩家可以获得各种装备和战利品,从而打得更好、速度更快、玩得更尽兴,游戏将获得大量附加价值。一旦玩家明白游戏帐号的附加值,那么可想而知,它们对犯罪分子有著怎样的吸引力。
游戏帐号对于犯罪分子来说还有其他用途。如果针对新手玩家,则可利用帐号向亲朋好友发送网络钓鱼链结。因为朋友之间相互了解和信任,所以他们很可能会不假思索地点击朋友发来的链结。玩家的一些朋友有可能在帐号中有很多有价值的东西(朋友的朋友也可能会有,以此类推)。
另一个用途是依赖于懒惰原则。就算玩家退出了游戏,而且帐号中没有任何东西,但如果玩家的登录凭证和用于电子邮件、社交媒体甚至银行帐号的凭证相同,那个没什么价值的游戏帐号对于犯罪分子来说可就是无价之宝。
重量不重质 普通用户同样遭殃
许多网络犯罪分子很喜欢盗用PSN、Steam、Battle.net、Origin、Xbox Live等游戏网站上的用户帐号。只要有网游帐号的人都是他们的潜在目标,被盗的游戏帐号会在暗网上交易。犯罪分子更关心的是盗用帐号的数量,而不是质量,所以他们大多数情况下不会针对特定的目标;他们只是放下诱饵,看谁上钩了。
比如,《魔兽世界》曾出现虚拟宠物骗局。这个骗局号称要为《魔兽世界》玩家提供一个免费的游戏宠物,结果玩家们没有得到宠物,反而把自己的帐号讯息拱手交到了犯罪分子手中。另一个案例是Steam Stealers。这是一种专门用于盗取Steam帐号的恶意软体。Steam平台创始公司Valve公开承认,每个月都有超过7万7000个帐号被盗。除了那些高调的游戏玩家帐号外,也不乏只在晚上玩一两个小时DOTA或CS的普通用户帐号。
为了帮助各类玩家(和其他帐号持有者)保护帐号安全,建议使用安全软体包括密码管理器,方便管理密码;另外还有密码强化措施,如创建真正强大的随机密码,并安全地存储在本地和云中。这意味著玩家可以拥有大量独特、强大的密码,同时可以在多个设备上轻松管理这些密码。除了使用密码管理器之外,还要保持密码完全隐私,并定期更改密码。这有助于保护游戏帐号和玩家辛辛苦苦花了好几百个小时才修炼培养出的角色。游戏帐号对玩家来说很宝贵,对犯罪分子来说是宝箱,所以务必进行妥善防御。
6建议,有效进行加密保护
关于密码设定,人们倾向于分为两大阵营:一大阵营是使用复杂但难记的密码,另一大阵营是使用易记但易被破解的密码。对于创建复杂但难记密码的用户,帐号可能更安全,但悲哀的是他们也很容易忘记密码。毕竟,记住“password123”远比记住“Pa$$W0rdTh3G14nT123”容易得多。
卡巴斯基实验室调查也显示,有相当数量的人表示很清楚使用复杂密码的必要性。在认为需要最安全密码的帐号类型中,63%的人选择的是网上银行帐号,42%选择支付App(包括电子钱包),41%选择网上购物。不过,51%人承认自己存储密码的方式不安全,还有23%人表示他们把密码存储在记事本中,这一比例让人吃惊。
确保密码不易被破解,可使用全方位安全软体提供的密码管理器功能,即是用户责创建一个复杂的密码,用这个密码来保护其他所有密码。密码管理器会存储并填写所有在线帐号的密码,一切内容都通过加密进行保护,使任何人都无法进行窥探。
卡巴斯基常驻技术专家大卫艾姆(David Emm)给出了如下建议:1.不要使用可猜测的密码。比如密码中含有出生日期、出生地点、伴侣姓名等个人讯息,这些讯息都能在网上找到,如面子书涂鸦墙上。
2.不要使用实际单词。因为很容易受到“字典式攻击”,会有人利用程式来快速尝试一大批可能的单词,直到找到匹配你密码的单词。
3.组合使用字母(包括大写字母)、数字和符号。
4.不使用重复密码,如david1、david2、david3等。
5.为每个帐号使用不同的密码,避免所有帐号变得易受攻击。
6.如果怀疑密码已泄露,请立即更改密码。