《北京青年报》前天刊发的《“心脏出血”修复就安全了吗》报道引起了网友们的关注,并反馈有些问题还不大清楚,比如何时修改密码更为安全,设置什么样的密码才更为安全等问题。针对这些普通网民关注的热点问题,北青报记者昨天采访了电脑安全专家。
近期修改密码未必安全
“心脏出血”漏洞祸及网民最常用的购物、网银、社交、门户等知名网站和服务各个领域,普通网民应该如何应对?腾讯电脑管家安全专家邵付东表示,最好的应对方式就是不要在有漏洞的网站输入账号和密码。可以通过安全软件,给自己一个安全提醒。
有专家提示,“漏洞”事件发生后,要修改密码。那么是不是所有的网友都需要修改密码?对此,邵付东强调,如果在漏洞爆发期间没有登录过网站的话,则不需要修改密码。如果在网站存在漏洞期间内登录过的话,建议联系网站的提供商进行账号和密码的保护。此时,如果自己再去修改密码,反而会增加密码泄露的可能。
长度在8位以上的密码更安全
不少网友反映,在设置新密码的时候,经常遇到一个问题,设置的密码太简单,系统会提示安全级别太低,必须重新设置,很多网友要耗费很长时间来设置一个新密码。那么什么样的密码算是安全级别较高的密码?
对此,邵付东提醒,不要使用常用的密码,尽量设置密码为有大小写字母、有数字、有特殊字符如@ # & %等,四类一起组合的长度在8位以上的密码。
财产类账户密码要和社交类分开
“需要注意的是,很多人会给所有网站设置同样的密码,这很危险,如果你在一家网站的密码被盗用,那么这个人很可能利用这个密码登录你的其他账户。”邵付东表示,给所有网站设置同样密码的网友,大多担心密码太多,记不住。其实,他们完全可以把自己经常使用的网站按照重要度设置不同类型的密码,尤其是财产类网站的密码,一定要和社交类的密码分开。
文/本报记者 吴琳琳 制图/潘璠
名词解释
什么是“心脏出血”漏洞?
据悉,“心脏出血”漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。4月7日,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。
他披露,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean曝出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
文/本报记者 吴琳琳