報！超3千萬個郵箱密碼洩漏，攻擊者勒索比特幣贖金，它能否挽救

當密碼遇上區塊鏈，會擦出怎樣的火花？

7月9日，騰訊御見威脅情報中心發文稱近期捕獲到一起挖礦木馬攻擊事件，該木馬病毒的獨特亮點就是利用肉雞電腦大量發送恐嚇勒索郵件。

截止目前，該病毒已經攻克了1691臺服務器，已驗證的郵箱帳號超過3300萬個，包括Yahoo、Google、AOL、微軟在內的郵箱服務均在被攻擊之列，最終可能會有上億個郵箱帳號被驗證。

如果郵箱帳號驗證成功就向該郵箱發送欺詐勒索郵件，郵件內容就是“我知道了你的密碼或隱私信息，你必須在X日內向XXX帳號支付價值XXX美元的比特幣，否則，就公開你的隱私信息。”

分析發現，病毒主模塊編寫者為“Burimi”，且具有內網傳播能力（感染U盤和網絡共享目錄），安全專家將其命名為“Burimi”挖礦蠕蟲。

小編可以肯定地說，每隔一週，至少會有一次明顯的數據洩露事件發生。事實上，這種情況經常發生，每天都有超過600萬條記錄被盜，但誰在計算呢？

社交媒體佔這些被盜記錄的76%也就不足為奇了，因為人們平均每天花2-10個小時在Twitter和Facebook等平臺上。

在安全性方面，幾乎所有這些平臺都有一個共同點——使用密碼。

不幸的是，在2017年報告的所有數據洩露事件中，密碼洩露是導致這類事件發生的直接原因。很多時候，黑客都是使用被盜密碼訪問敏感信息。

儘管絕大多數社交媒體賬戶屬於個人，但他們並不是唯一容易被密碼數據洩露的賬戶。儘管採取了一些網絡安全措施，但組織的密碼數據庫遭到黑客攻擊的頻率比大多數人想象的要高。

2016年，Steemit的260個賬戶遭到黑客攻擊，造成8.5萬美元損失。2011年，索尼PlayStation Network的7700萬個密碼被黑客竊取。2018年6月，阿迪達斯也成為了200萬客戶記錄洩露的受害者。

密碼是最薄弱的環節

事實上，許多洩露都是人為錯誤造成的。由於網絡釣魚和不小心使用公共電腦，密碼都極有可能被盜。

選擇容易猜測的弱密碼，比如出生年份或常用單詞，也是助長數據洩露的一個因素。難以置信的是，2014年使用最多的密碼是：123456、password 、qwerty。

雖然你可能想知道為什麼有人會選擇這麼簡單的密碼，因為有一個很好的理由是:它們很容易記住。

您可能使用過市場上許多密碼管理器中的一個，比如LastPass，它在安全存儲用戶密碼數據方面非常流行。

這樣的管理器真的很有用，尤其是當你懶得記住你的100萬個社交賬戶的密碼時。然而，只有一個大問題:它們也可以被黑客攻擊。

例如，2015年黑客攻擊LastPass，暴露了用戶密碼、電子郵件地址，甚至密碼提示。另一個受歡迎的密碼管理軟件OneLogin也在2017年遭到入侵。

兩名管理人員都有相應的措施來避免這種情況，但由於密碼存儲在一個集中的位置，黑客很容易訪問密碼並猜測薄弱的密碼。

加密貨幣世界也不例外

顯然，即使是加密貨幣的世界也存在數據洩露情況。正如一些媒體之前的一篇文章中所報道的那樣，加密貨幣遭受黑客攻擊在2018年前9個月內造成了約9.27億美元的損失。

2018年6月，全球第六大加密貨幣交易所Bithumb也遭到黑客攻擊。那次入侵讓Bithumb損失了價值約3,000萬美元的加密貨幣。

2018年被黑客攻擊的其他交易所包括Bitgrail、Bancor和Zaif，它們的密碼損失分別為1.5億美元、1200萬美元和5970萬美元。

儘管一些交易所依賴於雙因素身份驗證(2FA)來保護用戶帳戶，但是與電子郵件地址和密碼相關的漏洞仍然存在。這些攻擊包括像網絡釣魚這樣的社會工程攻擊。

那麼，這個世界還得繼續使用一個被視為不安全的體系多久呢?希望不會太久。

區塊鏈如何拯救這一天

傳統的密碼存儲數據庫是集中式的，可以從單一位置訪問。另一方面，區塊鏈通常是分散的，這意味著它可以建模來存儲和驗證數據，而不會出現單點故障。

這與用戶身份驗證有什麼關係?簡單來說，即使用戶選擇弱密碼，惡意參與者也很難從一個點訪問所有密碼數據。

一些區塊鏈公司已經開始使用這種技術。目前，世界正迅速轉向無密碼登錄。這種技術證明根本不需要密碼和電子郵件地址。

另一家初創公司REMME也在解決這個問題，它將認證過程中的人為因素完全剔除。

REMME不提供密碼，而是為每個設備提供一個惟一的SSL證書，該證書可以在其區塊鏈上進行身份驗證。使用這種方法，不需要服務器或密碼數據庫，黑客沒有明確的目標。這確保了即使是網絡釣魚攻擊也變得毫無用處。

牽手區塊鏈，讓商業密碼更安全

在區塊鏈技術的支持下，商業密碼無需再依賴第三方機構，能大大降低被篡改或被惡意攻擊的風險，使密碼的安全性得到大幅提升。

眾享比特科技有限公司副總裁陳鴻剛對科技日報記者說，以身份認證為例，過去一旦存儲密碼的服務器遭到破壞，就可能導致大量用戶密碼洩漏，後果十分嚴重。

而在採用區塊鏈技術後，可將用戶密碼的存儲模式改為分佈式，進而大大降低“拖庫”“撞庫”等網絡攻擊的概率。

即便部分區塊鏈節點失效也不會對整個系統認證造成影響。此外，商業密碼也能提升區塊鏈技術的使用效率。

雖然區塊鏈技術炙手可熱，但它並非完美無瑕。小編認為，其區塊容量有限、確認耗時長、能耗大等問題一定程度上限制了它在商業領域的應用。

由於區塊鏈存儲數據量有限，且數據添加需要在鏈上的每個節點進行記錄和認證，所以在存儲圖片、視頻等大文件時，區塊鏈的工作效率會大幅降低。但倘若與商業密碼算法相結合，這個問題就會迎刃而解。

商業密碼的常用算法是哈希算法，這一算法可將大文件轉換成獨有的哈希值，再將這一數值上傳至區塊鏈。哈希值通常為數字，佔用空間極小，如此一來，區塊鏈的效率將大幅提升。

不過，區塊鏈與密碼的結合也存在著一些障礙。

首先是應用場景。商業密碼是避免信息洩露的有效途徑，其核心技術在於算法。對所有用戶透明、公開的區塊鏈技術在有些特定場景中並不適用。

例如涉及商業機密或軍事信息，這就需藉助算法對鏈上數據進行加密存儲，設定用戶訪問權限，在分享數據的同時加強隱私保護。

其次是技術銜接問題。小編認為，對現有非區塊鏈密碼系統進行改造、升級的難度頗大。在推廣的過程中，缺少“一鍵式”的替換方案，使得用戶密碼升級程序多、情況複雜。

此外，目前國內缺少相關詳細的法律規範及技術標準指引，行業規範有待進一步加強。

硬件設施落後也是現階段的一個難點。

不過小編覺得，硬件基礎薄弱或許是件好事。因為以前都是圍繞著國外現有的基礎架構在進行思考，現有的架構限制了科研工作者的思路。

小編結語：

自從50多年前世界開始使用密碼進行用戶身份驗證以來，帳戶安全已經取得了長足的進步。

然而，它還有更長的路要走。在我們徹底擺脫密碼之前，個人和組織還需要遭受多少打擊?歸根結底，世界是多麼願意拋棄舊技術，擁抱新技術。

好了，這期分享就到這了，想了解更多區塊鏈乾貨知識，請關注微信號公眾號“愛鏈天下”，區塊鏈愛鏈社交開發平臺，與你不見不散！！！