鉴于目前暴库与撞库越来越多,是不是应该创建一个密码指纹项目网站,用来识别某次暴库究竟是哪个网站泄露的。

2014-12-25 16:16:14 +08:00
 xiaoyao9933
例如本次12306事件,12306真是冤的很。为此可不可让这个项目统一生成不同的账号密码放在各大抢票网站,浏览器的记录之中。一旦发生暴库,我们就可以第一时间利用被泄的密码和其他信息判断到是哪里出现了问题,再也不用再冤枉任何无辜的网站。
3400 次点击
所在节点    问与答
8 条回复
Automan
2014-12-25 16:20:30 +08:00
不就是社工库吗。。
xiaoyao9933
2014-12-25 16:21:31 +08:00
@Automan 社工库现在可以确定泄露源么?
xiaoyao9933
2014-12-25 16:22:18 +08:00
@Automan 它现在就无法判断本次12306泄露自哪里吧?
fengchang
2014-12-25 16:37:41 +08:00
@xiaoyao9933 不一定是一个来源撞出来的
安全人员搜索以往互联网上的数据进行了匹配,从17173.com7k7k.com、uuu9.com等网站泄露流传的数据中搜索到了该批13.15万条用户数据,基本可以确认该批数据全部是通过撞库获得。
lecher
2014-12-25 17:00:31 +08:00
同一个网站的账户支持多用户登陆,这个是伪需求吧。正常网站谁会这么用?
要说通过密码区分,个人感觉密码带上网站域名或者应用名之类的,这个最直接,每个网站的密码都不一样,可以防止撞库,也可以通过这个来区分自己的信息是在哪个地方泄露的。
比如12306的密码 xxxin12306
v2ex的密码 xxxinv2ex
我觉得这样的方式不复杂,防止撞库这块还挺有效。
zq9610
2014-12-25 17:25:10 +08:00
@lecher 这样也很容易猜出你的密码啊
9hills
2014-12-25 17:26:58 +08:00
@zq9610 用lastpass生成的随机密码就好了,每站一密,泄露也能找出来是谁泄露的
lecher
2014-12-25 17:34:57 +08:00
@zq9610 只是防撞库- - 真的要针对性的去对某个帐号做社工,只有lastpass这种每站一个随机密码才能防了。
防社工这事情,太困难了,如果经历过早期02年左右的mop人肉搜索事件的,应该能体会到社工有多可怕,一张招聘,一个社区留言,都可以作为身份定位的标识。
要防信息泄露,还是得从操作习惯开始,尽量不要在网上保留太多个人信息。比如社区留言我在xx玩或者照片之类的。
多几套帐号分别用于不同用途,电子邮箱,手机卡最好分开来处理,我个人认为,收验证码,收快递这个事情,网上留一个公用手机卡足够了。实名认证可以考虑用身份证生成器伪造。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/156642

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX