如何辨别密码安全糟糕的网站 分类: 软件插件学习 2015-05-08 11:32 54人阅读 评论(0) 收藏

来源:http://blog.sina.com.cn/s/blog_77e8d1350100wfvz.html
html


话说网络是一个很不安全的地方……什么?你才知道啊!地球很危险,你仍是赶忙回火星吧!算法


若是你仍是下定决心呆在地球,同时又但愿知道知道如何鉴别那些网站在密码保管问题上很儿戏,不具有专业知识,又或者具备潜在的盗取你的密码的嫌疑,那么请用下面的检查表来看看吧。若是最后总分在:
  • 12分及以上,最好不要在碰这样的站点,或者就算你经受不住诱惑非要使用,请永远不要在这样的网站上输入和你用在银行等地方相同的密码
  • 6分及以上,此地很危险,建议 不要在这样的网站上输入和你用在银行等地方相同的密码,并向该站点的客服提出抗议;
  • 3分及以上,此地有潜在的危险,一不当心不是泄露你的我的敏感信息,而这些敏感信息要么可能会使得黑客窃取你帐户的控制权变得更容易,要么可能会使得黑客或者别有用心的内部员工据此进行诈骗;
  • 2分及以上,须要注意些,这样的网站有可能具备严重漏洞,也可能没有,很差说。同时,有可能在该网站的帐号或者我的隐私信息已经被盗的状况下,你还一无所知。
我相信你能够很轻易地发现有很多网站的分数在24分甚至48分以上,在交通安全上来讲是终身禁驾的情况,对于食品安全来讲,那就是恭喜你,你终于知道大多数餐馆都用地沟油了。

请注意:这个检查表只能检查出显然存在问题的地方。即使不存在这个列表里面的问题,也不能证实这个网站就是安全的,更不能证实这个网站没有用明文保存密码!

如下问题,每个回答“是”的问题得12分:
  • 该网站的找回密码功能,真的能够将你的原有密码经过电子邮件发送给你;
  • 该网站的找回密码功能,不是经过电子邮件提供重置方式,而是根据安全提示问题回答出正确答案,便可当即修改密码,或者显示新的密码;
  • 该网站在注册过程当中,向你询问各类社交工具如MSN、QQ、电子邮箱的密码,生成是能够邀请你的朋友;
  • 该网站对密码可输入字符类型限制为“英文(大小写)和数字”,或者“英文(大小写)”,或者“数字”,同时没有其余附加验证手段如U-Key、证书或者登陆时必须输入发送到手机上的验证码等;
  • 该网站对密码可输入字符数量限制为10个之内 ,同时没有其余附加验证手段如U-Key、证书或者登陆时必须输入发送到手机上的验证码等;
  • 该网站在输入密码的时候是明文显示的;
  • 输入一个错误的密码,也能登陆;(典型骗取你帐号密码的钓鱼网站!)
  • 输入一个不存在的帐号,也能登陆; (典型骗取你帐号密码的钓鱼网站!)
  • 在除了你以外的任何状况下,可以看到你的密码安全提示问题,甚至是答案;
  • 当你电话寻求该网站客服帮助的时候,会向你询问你的密码是什么;
  • 当你电话寻求该网沾客服帮助的时候,会向你询问一些其余敏感信息例如您的银行帐号、密码,亲人的姓名和联系方式等,除非该公司是相似银行等极具可信度的(即使如此,也须要很是谨慎考虑);
  • 客服发送给你的问题处理结论中,所包含的处理过程信息或者其它地方,有你的帐号明文密码信息;
  • 该网站曾经出现过极大的安全事件,例如密码被爆库,而且没有公开说明其安全处理方式;
  • 该网站曾经被警告过出现安全漏洞,但一直没有公开回应并修补;
  • 该网站的高层曾经发表过不谨慎的安全言论,例如“咱们的站点绝对安全”之类;
  • 该网站的高层曾经发表过不专业的安全言论,例如“咱们网站的密码加密算法是本身开发的,不会存在问题”之类;
如下问题,每个回答“是”的问题得6分:
  • 在该网站注册以后,会经过发送电子邮件告知,或者在屏幕上显示密码明文是什么,好比123456;
  • 在该网站注册以后,会发送电子邮件告诉你安全提示问题和答案是什么,好比“我家的猫叫什么名字?答案:傻缺”;
  • 在该网站使用找回密码功能,或者修改了密码以后,会经过发送电子邮件告知,或者在屏幕上显示密码明文是什么,好比123456;
  • 在该网站使用找回密码功能,或者修改了安全提示问题以后,会发送电子邮件告诉你安全提示问题和答案是什么,好比“我家的猫叫什么名字?答案:傻缺”;
  • 该网站曾经出现过极大的安全事件,例如密码被爆库,其随后的漏洞处理方法被具有基本安全知识的专业人士所质疑;
  • 该网站曾经被警告过出现安全漏洞,其公开回应声称不存在这样的问题,或者其修补漏洞的方法被具有基本安全知识的专业人士所质疑;
  • 关键的安全操做,例如修改密码,修改安全提示问题及答案,以及确认支付等,没有除了必须已登陆以外的其余安全验证过程,例如再输入一遍密码,或者发送一条包含验证码的信息到你的手机,必须输入正确才能继续进行等;
  • 故意屡次输入错误的密码,既不会锁定账户一段时间不让登陆,也不会出现验证码输入框;
  • 你能够收到一些包含有连接的邮件,点击这些连接会弹出浏览器,而且在没有任何输入,或者使用U-Key、证书的状况下,以你的身份登陆站点;
如下问题,每个回答“是”的问题得3分:
  • 匿名用户能够得知你的找回密码邮箱地址是多少,好比说,联系邮箱实际上就是找回密码邮箱,该网站有隐私选项能够选择“匿名用户/会员/你的好友/你的私密好友/或者没有任何人”能够查看您的联系邮箱,这个问题的答案仍然应该回答“是”;
  • 找回密码的方法不是让你从新输入一个新的密码,而是自动生成一个新密码在屏幕上显示给你;
  • 你在该网站填写过很是敏感的我的信息,例如身份证号码、护照号码、电话号码,除非这是一个具备可信度的企业所属网站,例如银行、该行业内前10的网站,而且这是业务所必需的,例如银行须要身份证号码证实你的身份,或者电子商务、快递公司须要你的联系方式以便货物顺利送达;
  • 关键的安全操做,例如修改密码,修改安全提示问题及答案,以及确认支付等,除了必须已登陆以外的其余安全验证过程,例如再输入一遍密码,或者发送一条包含验证码的信息到你的手机,必须输入正确才能继续进行等;可是可让用户选择是否跳过这样的步骤,例如存在其余网银支付方式,既不须要U-Key,也不须要短信验证等;
  • 你注册的时候,或者修改密码的时候,该站点不会验证你密码的强度是否足够强;
  • 登陆或者关键操做的时候,网址开头不是https://,而是http://;
  • 登陆或者关键操做的时候,尽管网址开头是https://,但浏览器提示警告,如“证书无效”,或者“该页面存在不安全内容”等;
如下问题,每个回答“是”的问题得2分:
  • 出现验证码的地方能够看见这个验证码只是一个简单的英文数字,字体正规没有扭曲(哪怕背景有噪点);
  • 该站点没法提供你的登陆日志,或者登陆日志不能提供登陆时间和IP;
  • 故意的屡次输入错误密码以后,你的找回密码邮箱没有受到任何风险提示邮件;
如下问题,每个回答“是”的问题得1分:
  • ……无关痛痒的我懒得想

若是你要考察的站点能够操做你的财产,那么还必须附加检测下面的表。

如下问题,每个回答“是”的问题得12分:
  • 登陆时没有任何附加验证手段的选择,例如U-Key,密码表,证书,输入发送到你手机上的验证码,打电话到你填写的固定电话号码与你核实身份(用图片在网页显示的验证码及其验证码输入框不在此列);若是有这样的登陆选项,但也有可跳过该步骤的选项,此问题答案为“否”
  • 该公司给你发一个n乘n的密码表,例如登陆时要输入P列第3行的密码,而且此密码表的每个单元中的密码可使用超过1次;
  • 屡次错误输入密码不会锁住你的帐户一段时间(最好先咨询,确认有你就能够相信这个答案为“否”了。若是没法找到咨询方式,你最好尝试一下);
  • 从登陆开始(包含),以后的全部操做都不是在https://开头的网址下面进行的,也不是一个自有的桌面应用客户端;
  • 在你第一次申请帐号的时候,该公司会为你的资金操做帐号生成一个初始密码(而不是让你输入一个),同时在没有任何身份验证并激活的措施下(例如要求输入您的身份证号码,以及电话号码等),就可使用该密码进行任何资金相关的操做;
  • 被浏览器警告证书无效;
  • 输入密码的地方你能够经过粘贴的方式将密码粘贴进去;
  • 输入密码的地方你能够按左右键来改变光标当前位置,并删改中间的某些字符,最后还能成功登陆;
  • 当天累计发生金额为1000元的操做时,没有任何的邮件或短信通知;
  • 最近6个月内存在能够成功钓鱼的案例;(说明该企业确实存在让用户感受很天然的,但很不安全的登陆方式,而且只须要这些基本的登陆信息如密码,就能够进行资金上的操做)
如下问题,每个回答“是”的问题得6分:
  • 登陆时有任意附加验证手段,可是也能够选择绕过去,而且在绕过去的登陆方式下,没法限制其能够操做的范围;
  • 你没法选择禁止不带附加验证手段的登陆(若是能够这么登陆的话);
  • 若是使用浏览器,从登陆开始(包含),以后的任意操做曾经出现过“该页面包含不安全内容”之类的提示;
  • 你没法限制是否容许网上交易、转帐、汇款等操做,或者能够设置是否容许,但没有办法设置限额;
  • 你使用的是“文件证书”,超过1年以上但却历来没有被要求更新过;
  • 你使用的是“密码表”,但该密码表没有过时的时候;
如下问题,每个回答“是”的问题得3分:
  • 该站点没法提供“证书”或者比这更安全的登陆方式(例如U-Key,电话核实身份),而只能提供一些诸如“密码表”的登陆方式;
  • 该企业在3年内曾经爆发过成功钓鱼案例(例如资金被骗走、盗取、转帐、汇款等);(一个出过安全问题的企业,极可能原来就不重视安全问题,而且存在大量安全问题,而且随后会真的很重视的概率也会比那些打一开始就注意的企业要低)
  • 在给你的帐单/电子帐单中,会出现你的完整隐私信息,如姓名、身份证号码、邮箱地址、电话号码、帐号、帐户名、交易方帐号等,而没有任何的删节(例如用*表明其中一部分),也没有任何须要密码才能解开查看的措施;
  • 再给你的帐单/电子帐单中,每次都会提示您的某种操做的初始密码,包括但不限于“资金操做密码”、“查询操做密码”以及“解密电子帐单所须要的密码”等;
先大概这么多吧,欢迎切磋指正和补充。
相关文章
相关标签/搜索