12306大量數(shù)據(jù)泄露

來源

今早烏云漏洞平臺突然爆出了一個駭人聽聞的消息：12306用戶資料疑似大量泄漏，甚至有明文形式的密碼，以及身份證、郵箱等敏感信息。
烏云漏洞信息：http://www.wooyun.org/bugs/wooyun-2014-088532

隨后12306官方迅速做出回應，稱該網(wǎng)站數(shù)據(jù)庫的所有用戶密碼都是多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄漏的應該來自其他渠道，同時提醒用戶不要用第三方搶票軟件，只上12306。

12306聲明：http://www.12306.cn/mormhweb/zxdt/201412/t20141225_2448.html

原因

知道創(chuàng)宇確認12306數(shù)據(jù)泄露事件為“撞庫攻擊”：

所謂“撞庫”，是一種針對數(shù)據(jù)庫的攻擊方式，通過攻擊者所擁有數(shù)據(jù)庫的數(shù)據(jù)通攻擊目標數(shù)據(jù)庫，可以理解為使用在A網(wǎng)站盜取的賬戶密碼來登陸B(tài)網(wǎng)站，因為很多用戶在不同網(wǎng)站使用的是相同的賬號密碼。
再打個比方，就是你從大樓保安那里復制了一大串鑰匙，然后跑到隔壁同一家建筑公司、同一批設計人員造的樓里，一把把試著去開不同的門。

查詢是否泄露

如果需要查看自己的信息是否泄露可以進入查詢：http://cloud1.rsscc.com/gtgj/wap/act/20141225/act.html?scene=2&from=timeline&isappinstalled=0

這是我查詢的結果，還好沒有泄露

密碼管理

出現(xiàn)問題的基本都是一個密碼走天下的，這樣太危險，根據(jù)網(wǎng)站的不同，最好還是設置不同的密碼，但是自己記住密碼又太麻煩，所以給推薦一個密碼管理軟件用用。

密碼管理軟件

目前主流的密碼管理器有 LastPass、KeePass、1Password。它們的功能是：以后你只需要記住一個密碼，其它服務的密碼就靠軟件幫你輸入了。

KeePass 免費，只有 windows 客戶端。其他平臺的客戶端都是支持者根據(jù)官方 源代碼寫出來的。它提供了一個界面來管理密碼。這是一個開源軟件。
LastPass 以瀏覽器擴展的形式幫你記住各種密碼，提供跨平臺客戶端的免費版和每月一美元的高級版，高級版提供 iOS 、 Android、黑莓、Windows Mobile、HP WebOS、SymbianS60 等平臺客戶端。有中文界面。它與 KeePass 最大的區(qū)別就是，KeePass 沒有瀏覽器擴展。（我正在使用的，個人覺得最方便的一個）
1Password 提供 Windows 和 Mac 系統(tǒng)的 30 天免費試用版和 $49.99 美元的收費版。僅僅支持 iOS 和 Android。這個在蘋果系上評價最高，用mac和iphone的人建議使用。

安全性

那么將密碼交給密碼管理軟件安全嗎？這個很多人都想問，知乎上也有個討論。可以看看。
LassPass的安全：

LastPass 使用 AES256 與 PBKDF2「哈希算法」加密技術將數(shù)據(jù)保存至本地，讓木馬盜取、暴力破解變得毫無可能，甚至是 LastPass 公司內(nèi)部也無法獲取你的任何帳號密碼信息。以至于，當不小心遺忘 LastPass 登陸主密碼后，他們也無法提供傳統(tǒng)的密碼找回功能，而只能將你注冊帳號時所提交的「密碼提示」重新發(fā)送至郵箱，幫助你回憶密碼。所以，一方面你需要牢記自己的密碼，從另一方面也能看出 LastPass 可靠的安全性。

注意：用LassPass最重要的就是這個它賬號密碼了，如果這個密碼丟了，那你所有的密碼都丟了，這個密碼一定要盡量復雜，不要怕難記，因為你只需要記這一個密碼。在這還建議，只用lasspass記錄那些不設計錢財或者個人信息的網(wǎng)站，比如支付寶、QQ和微信等網(wǎng)站。

LastPass的使用

由于我是Windows加Android，所以我選擇LassPass，很方便也很安全。分Windows和Android介紹。

Windows

LastPass 是以「瀏覽器插件」的形式存在的。無論使用 IE、Chrome、Firefox、Opera 或 Safari 進行網(wǎng)頁瀏覽，LastPass 均提供持續(xù)更新的插件，方便用戶在各種瀏覽器內(nèi)部進行直接的安全管理、實時更新同步、快速填寫表單等功能（下文會介紹）。而由于 Chrome / Opera / Firefox 均支持 Windows、Mac、Linux，也意味著 LastPass 同樣支持三大主流系統(tǒng)。另外Windows下還有客戶端，只不過不如瀏覽器實用。

上圖就是PC上火狐上的一個截圖，使用很方便，瀏覽網(wǎng)站時需要登錄的話就會顯示有匹配的密碼，不用自己輸入。

當你使用安裝過 LastPass 插件的瀏覽器（如 Firefox）登錄某個網(wǎng)頁時，LastPass 會自動彈出提示，詢問用戶是否需要記憶該網(wǎng)站，以便下次登陸時使用該匹配密碼，甚至直接自動登錄該網(wǎng)站。

Android手機

Android中Lasspass能像電腦上一樣自動填充Chrome上的網(wǎng)頁，F(xiàn)irefox也可以下載插件，同樣好用哦。

更好用的是，Android上還能自動填充其他應用，比如QQ或者微信之類的。

首次在 Android 手機登陸LastPass后，你就會看到一個「啟用應用填入」的向?qū)?，根?jù)提示即可打開功能。或者，你可以直接到手機的設置中找到「輔助功能」后，開啟「LastPass」服務，服務開啟 LastPass 的填入應用功能會同時打開。( 注意：若你使用的是 MIUI 系統(tǒng)，還需要進入手機的應用管理界面，找到 LastPass 并允許「顯示懸浮窗」)

以登錄QQ為例，展示 LastPass 在第三方 App 中是如何工作的。通過下圖，你會發(fā)現(xiàn) QQ 界面中會自動彈出「用 LastPass 填寫」提示框?？紤]到最佳的安全性，你需要先點擊「復制用戶名」，然后長按用戶名輸入框后粘貼，然后點擊「復制密碼」重復粘貼動作。

后記

現(xiàn)在網(wǎng)絡上基本沒有隱私可言，我們能做的就是盡量保護自己的隱私，注意自己密碼的安全，而類似lasspass之類的密碼管理軟件是不錯的選擇。

對LassPass嚴重依賴的還可以購買正版，附上LassPass在國內(nèi)唯一授權的經(jīng)銷商的地址：荔枝數(shù)碼

微信公眾號：lyishaou

微信公眾號