标签: 密码

A站受黑客攻击:近千万条用户数据外泄 涉ID及密码等

新浪科技讯 6月13日早间消息,今日凌晨,AcFun发布公告称,受黑客攻击,近千万条用户数据外泄,其中包含用户ID、用户昵称、加密存储的密码等信息。 AcFun向用户表示,如果在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码。如果在其他网站使用同一密码,也请及时修改。 2017年7月7日,AcFun升级改造了用户账号系统。AcFun称,如果在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果密码过于简单,也建议修改密码。 AcFun称事故的根本原因在于没有把网站做得足够安全,在事发后,已在第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。 接下来,AcFun会对服务做全面系统加固,实现技术架构和安全体系的升级。同时,AcFun表示已经搜集了相关证据并报警。 此次事故公告之前,快手刚刚完成对Acfun的整体收购。 未来,A站将保持独立品牌、维持独立运营、保持原有团队、独立发展,而快手会在资金、资源、技术等给予A站大力支持。 同日,Acfun发布招聘贴。网友戏称:“有钱了”。(李楠) 以下为AcFun公告原文: 尊敬的AcFun用户: 我们非常抱歉,AcFun受黑客攻击,近千万条用户数据外泄。 如果您在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码。如果您在其他网站使用同一密码,也请及时修改。 AcFun在2017年7月7日升级改造了用户账号系统,如果您在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果您的密码过于简单,也建议修改密码。 这次重大事故,根本原因还在于我们没有把AcFun做得足够安全。为此,我们要诚恳地向您道歉。 接下来,我们会采取一切必要的措施,保障用户的数据安全。我们的措施包括但不限于: 1、强烈建议账号安全存在隐患的用户尽快修改密码。我们会通过AcFun站内公告、微博、微信、短信、QQ群、贴吧等途径提醒这部分用户,也请大家相互转告。对于未及时主动修改密码的存在隐患的账户,将会在重新登录访问时,被要求修改密码。 2、事发之后,我们第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。 3、接下来,我们会对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。 4、我们已经搜集了相关证据并报警。 后续,我们会与用户、媒体和各界保持信息的及时沟通。 最后,我们再次向您诚恳地道歉。未来我们要用实际行动把A站的安全能力建设好,真正让用户放心。 AcFun弹幕视频网 2018年6月13日   稿源:新浪科技,封面源自网络;

研究显示:主流网站用户密码复杂性都有潜在问题

研究显示,大多数主要网站都通过密码保持基本安全性,但同时他们也可以是信息跟踪手段,特别是如果用户不小心使用其凭据,或网站管理或存储密码不当。Dashlane 于 8 月 9 日发布了密码性能排名调查。这项调查检查了主要消费者和企业 SaaS 和媒体服务密码安全性,结果非常令人震惊。消费者网站当中近一半未能实施最基本的密码安全策略,而企业网站则有 36% 的未能提升其密码的安全性,包括亚马逊网络服务。 网站排名从零到五,零分是最差的得分,五分是最好的得分,三分是及格成绩。在排名评测当中,DashLane 考察了五个不同的东西: 密码长度:网站是否要求所有密码超过八个字符? 密码复杂度:该网站是否阻止用户创建 “ aaaaaa ” 或 “ 111111 ” 等密码?令人震惊的是,研究人员能在亚马逊、Google、Instagram 和 Venmo 上创建只包含小写字母 “ a ” 的密码。 密码强度评估:网站告诉用户密码的强度(或其他)是通过仪表还是彩色条形码? 暴力:经过十次失败的尝试后,网站是否采取行动来停止暴力攻击,要么通过锁定帐户或提交人机识别系统? 因素身份验证:网站是否要求用户通过短信发送的令牌或使用验证器应用程序来确认身份? 在针对消费者的网站当中,只有一个网站获得了满分,那就是 GoDaddy,一个受欢迎的网络托管平台。其它通过测试的网站包括包括 Apple、Microsoft、Tumblr、PayPal、Reddit和Slack。 不幸的是,Netflix、Pandora、Spotify 和 Uber都得了零分。 稿源:cnBeta,封面源自网络;

NIST 密码安全新标准更新,旧版作者承认存在不妥

美国国家标准和技术协会( NIST )今年 6 月提供的最新数字身份指南的新版草案中,指出不再推荐用户使用密码混合大写字母、字符和数字,也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度,NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过,对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章,其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟,后来也被证实不是太奏效,当然也有媒体的一些误导总结,导致更多的曲解。根据他当年写的一份文档 NIST Special Publication 800-63,媒体总结为专家建议大家采用混合大写字母、字符和数字,构成一个常用词组的方式(比如 P@ssW0rd123!)。事实证明,这种密码对于破解密码工具来说,只需要增加一些代码,根据这种规则的密码强度几乎与弱密码的破解相差无几,倒是催生了许多有创意的网名 ID。 比如一篇形象的漫画指出根据这样的规则,形似 “ Tr0ub4dor&3 ” 这样的密码只需要用标准技术在三天之内就能够破解,而且你很容易在被破解之前就忘掉自身密码。而一句完全采用英文单词组成的摸不着头脑的短语  “ correct horse battery staple ” 却需要约 550 年破解,而这组词语很容易形成独特的画面,对于人类来说非常容易形成记忆,但对于计算机来说堪比天书,随机性使得它很难被自动化工具猜出。Burr 承认当时的确找错方向。 NIST 数字身份指南的新版草案的作者 Paul Grassi 指出,NIST 此前的密码安全建议都是在摸索中前进,没有前人的尝试也无法摸索出切实有效的密码建议。NIST 也不再要求密码混合大写字母、字符和数字,因为研究显示此类的要求并不能带来强密码。NIST 认为,如果用户想要使用绘文字作为密码,那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。 稿源:cnBeta,封面源自图片;