鉴于目前暴库与撞库越来越多,是不是应该创建一个密码指纹项目网站,用来识别某次暴库究竟是哪个网站泄露的。
xiaoyao9933 · 2014-12-25 16:16:14 +08:00 · 3399 次点击这是一个创建于 3620 天前的主题,其中的信息可能已经有所发展或是发生改变。
例如本次12306事件,12306真是冤的很。为此可不可让这个项目统一生成不同的账号密码放在各大抢票网站,浏览器的记录之中。一旦发生暴库,我们就可以第一时间利用被泄的密码和其他信息判断到是哪里出现了问题,再也不用再冤枉任何无辜的网站。
 |
1
Automan 2014-12-25 16:20:30 +08:00
不就是社工库吗。。
|
 |
2
xiaoyao9933 OP @Automan 社工库现在可以确定泄露源么?
|
|
3
xiaoyao9933 OP @Automan 它现在就无法判断本次12306泄露自哪里吧?
|
 |
4
fengchang 2014-12-25 16:37:41 +08:00
@xiaoyao9933 不一定是一个来源撞出来的
安全人员搜索以往互联网上的数据进行了匹配,从17173.com、7k7k.com、uuu9.com等网站泄露流传的数据中搜索到了该批13.15万条用户数据,基本可以确认该批数据全部是通过撞库获得。 |
 |
5
lecher 2014-12-25 17:00:31 +08:00
同一个网站的账户支持多用户登陆,这个是伪需求吧。正常网站谁会这么用?
要说通过密码区分,个人感觉密码带上网站域名或者应用名之类的,这个最直接,每个网站的密码都不一样,可以防止撞库,也可以通过这个来区分自己的信息是在哪个地方泄露的。 比如12306的密码 xxxin12306 v2ex的密码 xxxinv2ex 我觉得这样的方式不复杂,防止撞库这块还挺有效。 |
|
8
lecher 2014-12-25 17:34:57 +08:00
@zq9610 只是防撞库- - 真的要针对性的去对某个帐号做社工,只有lastpass这种每站一个随机密码才能防了。
防社工这事情,太困难了,如果经历过早期02年左右的mop人肉搜索事件的,应该能体会到社工有多可怕,一张招聘,一个社区留言,都可以作为身份定位的标识。 要防信息泄露,还是得从操作习惯开始,尽量不要在网上保留太多个人信息。比如社区留言我在xx玩或者照片之类的。 多几套帐号分别用于不同用途,电子邮箱,手机卡最好分开来处理,我个人认为,收验证码,收快递这个事情,网上留一个公用手机卡足够了。实名认证可以考虑用身份证生成器伪造。 |
Select Language