专注于网络安全领域,跟踪漏洞动态,深耕互联网,做一个深谙攻防之道的公众号。
同时涉足多个领域,是哲学,抑或是文学与艺术,关注金融市场,研究全球市场经济发展方向。
在这个互联网时代,账号和密码成为了个人的重要资产。 对于今年6月份超星学习通泄露1亿7273万条数据的事件,针对此事,学习通当天回应称,其不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露。 从这件事情,我慢慢觉得,保护个人隐私安全任重道远,绝不能依赖平台对数据保护的基本措施,而是从为自己的账户设置一个复杂的密码为起点。
什么是高强度的密码? 数字+大小写字母+符号的三种组合密码。
为什么要设置高强度的密码?
因为,在存储用户数据的数据库里,最常用的密码加密方式就是MD5加密,这是一种不可逆的摘要算法。
通俗易懂的来讲,这大概意味着,只要你的明文密码越复杂,破解的难度就越大。
但假如一些平台被黑客完全的入侵,那么意味着密码的加密算法是“公开”的,对于AES等需要密钥进行解密的对称加密算法,一旦密钥遭到泄露,设置高强度的密码也是没有任何意义的。 虽然MD5加密是一种不可逆的算法, 但并不意味着你的密码就没有被破解的风险。
我设置的密码举例: Ac+to*250abc (12位)
或者……
密码1: 1dSHallRed
解析: 一荡山河满江红。
密码2: 1/2(S+S+X)andRDX
解析: 半神半圣亦半仙,全儒全道是全贤。
密码3: FLZX3000cY4yhl9day
解析: 飞流直下三千尺,疑似银河落九天。
这时候有人会问,全部设置同样的密码会不会一次泄露就导致其他账户沦陷?
我的回答是: 会的。 不过我这里所说的经常使用的软件平台是指微信、支付宝等,因为我信得过这些国内知名的平台,再者现在这些大厂对于数据安全的保护措施应该是令人满意的。 倘若连微信和支付宝这种大平台都出现大规模的数据泄露,那中国互联网安全的根基算是崩塌了吧。 对于一些你只是“玩玩”而已的平台,你的密码可以直接设置为Abc123,比如说某某学习软件、某某学校规定在这个平台注册账号然后观看视频完成任务……大言不惭的说,我就是这样的,统一密码只是为了方便记忆。
可能你会有某些疑问,然而...... 早在几年前就有人举出设置密码的某种规范案例了:
例如你的微信密码可以设置为: Wechat123
你的淘宝密码可以设置为: Taobao123
你的百度密码可以设置为: Baidu123
这是为了避免密码不重复而也方便记忆。
这些涌现的种种问题, 在这里我举例一个我认为比较安全的密码保护措施,
那就是手机号验证码登录,即无密码。
举例: 星巴克APP
你注册后,它并不会让你直接设置密码,
而是立即使用。 可能星巴克的初衷是方便点餐, 而不是过分收集你的个人信息。
你可能会二话不说的直接输入自己的手机号码并获取验证码,可是在你输入手机号并点击获取验证码的那一瞬间,你的手机号和对应获取的验证码已经保存到该平台的数据库了,而后这些小平台就可以向你发送一些垃圾信息,骚扰短信等。
比如你注册的是某个学习平台,这些平台就可能会给你推销一些付费课程。
再比如你注册的是某某野鸡商城(野鸡商城: 指微信小程序某些名不见经传的商城)
他们就可能给你推广一些类似于免费领取茶叶、9块9包邮iPhone13 Pro Max的广告。
我的一个朋友的某次经历
某天,我朋友在某个专门薅羊毛的网站看到了一个福利,新用户0.10元购买一箱牛奶,还是包邮的,于是他就按着步骤去微信小程序注册这个平台,然后购买了一箱牛奶。 我想,在这个过程中,他可能泄露了自己的名字、手机号以及收货地址。
你说的这个朋友是你自己吗?好像是。
后来这个朋友告诉我,他留的名字和手机号都是假的,唯独收货地址是真的,可惜是学校。
再后来他把牛奶喝完后,就把这个平台的账户注销了......
还有就是,这是我在淘宝的收货地址:
这里要说的是,网购不一定要填真实名字,而手机号为了方便联系还是需要填的,
但是鉴于快递物流行业难免会出现一些“内鬼”,因此我在这里建议大家在网购平台中开启“隐私号码保护”功能,
什么是隐私号码保护功能呢?简单来说就是开启这个功能后,你的快递面单不会出现你的手机号码,而是在每次下单之后平台会自动分配一个虚拟号码给你,类似的可以参考外卖平台,此举既方便了快递员和商家能够及时联系到你,也防止了订单信息的泄露,详情请到淘宝APP观看视频介绍。
“隐私号码保护”功能的开启方法:
淘宝APP:我的淘宝界面——设置(右上角)——隐私——订单号码保护——开启。
拼多多APP:个人中心——设置——隐私号码保护设置——开启。
其他部分电商平台貌似暂无此功能。
往前一步来说,你注册成功后, 这些平台可能会让你设置密码,当你设置密码后再点击开始使用。
那么你面临的可能就是, 该平台至少获取了你的以下信息:
1.手机号码
2.你的密码
3.你的IP地址(你家的大概位置)
4.你的手机型号(菠萝手机Pate40)
而以上信息又可以进行以下基本推断:
手机号码 → 哪里人
你的密码 → 其他平台的密码
你的IP地址 → 你家住哪里
手机型号(诺基亚2610)→ 老人
手机型号(小米K50 Pro)→ 学生
这里需要解释的是这个IP地址,如果你连接的是WiFi网络,那么是可以获取你家的大概位置的,
(有时候可以精确到10米范围)但如果是使用(流量)移动数据,这个位置是存在很大偏差的,
因为移动数据是通过基站位置来定位的。举个栗子,比如你家的实际位置在广东广州,
倘若使用移动数据的话你的位置可能是在广东深圳的某个地方。
另外,如果互联网冲浪者们既想要保护个人隐私却又想使用小平台的话也不是不可以,
在不使用该软件后只需找到“账号安全”页面申请注销账户即可,这时候平台大概率就会把你的所有信息从数据库中删除了。
其实早在几年前工信部就规定APP必须支持账户注销了,只是这些规定越来越严格,
所以你会发现目前很多平台都支持账户注销。对于一些可能只用几次的小平台,不用了就注销了吧。
因为这些小平台很容易受到黑客攻击,一不小心你就成为受害者了。
以上就是我对保护个人密码安全和隐私安全的一些建议,保护个人隐私安全任重道远,
你泄露的东西越少,以后你就会是最大的赢家,感谢你的阅读。
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("
有没有办法在Rails中为确认字段自定义消息?例如在设计中我必须输入密码和password_confirmation并且错误消息是:Passwordconfirmationdoesn'tmatchPassword我可以更改事件记录语言环境消息(“不匹配”),但它会在该语言环境消息的开头和结尾输出密码确认和密码,所以我得到如下内容:"PasswordconfirmationmustmatchPassword"有没有办法将其更改为不同的字符串?PasswordconfirmationandPasswordmustmatch.编辑另一件事是拥有完全自定义的消息,例如:'Setpassword
默认情况下:回形针gem将所有附件存储在公共(public)目录中。出于安全原因,我不想将附件存储在公共(public)目录中,所以我将它们保存在应用程序根目录的uploads目录中:classPost我没有指定url选项,因为我不希望每个图像附件都有一个url。如果指定了url:那么拥有该url的任何人都可以访问该图像。这是不安全的。在user#show页面中:我想实际显示图像。如果我使用所有回形针默认设置,那么我可以这样做,因为图像将在公共(public)目录中并且图像将具有一个url:Someimage:看来,如果我将图像附件保存在公共(public)目录之外并且不指定url(同
我在我的rails应用程序中安装了来自github.com的acts_as_versioned插件,但有一段代码我不完全理解,我希望有人能帮我解决这个问题class_eval我知道block内的方法(或任何它是什么)被定义为类内的实例方法,但我在插件的任何地方都找不到定义为常量的CLASS_METHODS,而且我也不确定是什么here,并且有问题的代码从lib/acts_as_versioned.rb的第199行开始。如果有人愿意告诉我这里的内幕,我将不胜感激。谢谢-C 最佳答案 这是一个异端。http://en.wikipedia
我正在尝试对某些帖子的评论使用简单的身份验证。用户使用即时ID和密码输入评论我使用“bcrypt”gem将密码存储在数据库中。在comments_controller.rb中像这样@comment=Comment.new(comment_params)bcrypted_pwd=BCrypt::Password.create(@comment.user_pwd)@comment.user_pwd=bcrypted_pwd当用户想要删除他们的评论时,我使用data-confirm-modalgem来确认数据在这部分,我必须解密用户输入的密码以与数据库中的加密密码进行比较我怎样才能解密密码,
我有一个允许更新用户记录的表单。它包含:password和:password_confirmation字段,但我不希望在数据库中已存储加密密码时对它们运行验证。View文件中的字段:'ConfirmPassword'%>在互联网上搜索时,我发现了这段代码,我认为它是针对以前版本的Ruby/Rails的。(我会把它放在我的用户模型中。)validates_presence_of:password,:on=>create由于我的用户模型中密码验证的语法不同(如下),我对我需要的语法感到困惑。validates:password,:presence=>true,:confirmation=>
我正在使用devise,当用户更改密码时,网站会将他们注销。我在网上读到,添加sign_in可以解决问题但不起作用,并且当密码更改时用户会注销。这是我的代码if@user.errors[:base].empty?and@user.update_attributes(params[:user])sign_in(current_user,:bypass=>true)flash[:success]="Useraccounthasbeensuccessfullyupdated"redirect_toedit_user_path(params[:site_id],@user)elserender
我在一个ruby文件中有一个函数可以像这样写入一个文件File.open("myfile",'a'){|f|f.puts("#{sometext}")}这个函数在不同的线程中被调用,使得像上面这样的文件写入不是线程安全的。有谁知道如何以最简单的方式使这个文件写入线程安全?更多信息:如果重要的话,我正在使用rspec框架。 最佳答案 您可以通过File#flock给锁File.open("myfile",'a'){|f|f.flock(File::LOCK_EX)f.puts("#{sometext}")}
