阿里巴巴安全部表示:盗号概率非常低

  • A+
所属分类:安全新闻

阿里巴巴安全部表示:盗号概率非常低




9月6日凌晨,万茜在某社交平台上深夜点赞郁可唯和宁静的恶评,随后被网友发现并迅速登上热搜。随后,万茜回应点赞事件,表示自己被盗号,并配图,图片上写着:“盗号的,你没有心。”

阿里巴巴安全部表示:盗号概率非常低

9月8日,知安局(阿里巴巴安全部)在知乎发长文回应此事,称盗号的概率是非常低的。

阿里巴巴安全部表示:盗号概率非常低

以下是知安局回复全文:


只能说,万茜通过这份盗号声明,把锅安排给了盗号者和知乎的程序猿。

对于这种选择知安君不便评价,只能通过自己在网络安全领域的工作经验,来谈谈明星们常说的“盗号”可能性到底有多大。

首先,不管是知乎还是其他平台,一个账号的核心安全属性主要是两个,即登录设备和IP地址。经常登录的设备和IP,一般会被平台默认为可信设备及地址。

因此,判断一个账号是否被盗,只需要看这个账号在自己未知情况下,是否在非可信设备和IP地址下登录了。这个可以快速的从后台的账号登录日志里查询到。

举个例子,比如你经常在北京的某个公司或小区登录自己的知乎账号,设备就是自己使用的iPhone,结果某天你发现自己的账号在北京的某个网吧里登录了,这种情况就属于被盗号了。

那不法分子一般是怎么盗号的呢?主要有两种方式:

第一种是通过无差别撞库的形式,去盗取用户的账号和密码。这种方式的特点是目标不明确,通常是批量性地去撞库一批账号,然后找到其中可用来盈利的账号。

第二种是不法分子通过诈骗的方式诱导用户登录在他们提供的设备上或骗取用户的账号密码及短信验证码。比如,有些不法分子声称扫码可领红包,对于安全意识比较低的人群而言,扫码确认的时候,就已经在不法分子手里的设备上登录了。

而且,大部分盗号者冒着违法风险去盗号,往往都是带着一定目的性的,谋财、恶意攻击等等。

因此,对于这些账号攻击行为,互联网平台都会设置安全防护措施。

比如,针对第一种撞库行为,平台可以通过设置风控模型,把绝大部分可疑的流量挡在平台外面,这种情况可疑筛选掉大部分的恶意账号攻击行为。

对于第二种,大部分互联网公司都会在业务策略层面实行“非可信验证”。

举个例子,比如某用户经常用自己的苹果手机在家里登录电商平台购物,那么,这台苹果手机就是可信设备,家庭网络地址就是可信IP。如果哪天这个用户的账号在陌生设备和IP地址尝试登录,这个时候平台就会要求进行二次验证。当然,不用的平台有不同的验证方式,比如短信验证码或扫脸识别等只有本人能确认的信息。

说实话,对大部分互联网平台而言,在防止盗号的策略上基本都是大同小异的。在这点上,知安君相信知乎作为一个有较大规模且成立了近10年的平台,是有足够能力去保障用户账号安全的,只要平台没有明显的漏洞,盗号的概率是非常低的。

而且,知安君上面也提到,查询登录日志就可以快速判断是否被盗。如果登录时的设备、IP地址都是在可信状态下,基本可以判断账号没有被盗,即便不是本人操作,也很有可能是身边亲近的熟人操作。

最后,知安君提供一点小tips,教大家如何保证自己的账号安全:

账号密码的复杂度尽量高一些,不要设置弱口令,最近凉山州中考志愿填报系统被学生攻破就是教训;

不要在不常见的网站上登录自己的微信、微博及支付宝等账号,否则很有可能被这些网站采集到账密;

不同平台的账号,不要使用同一个或相近密码,否则被撞库的可能性很大;

手机短信验证码不要透露给其他人,尤其是陌生人;

不要把账号借给不熟悉的人使用。

能做到以上几点,账号被盗的可能性就会极大的降低。



-----

盗号的说法在娱乐圈也是并不少见。例如,肖战也曾表示被盗过号。ins头像换成纯黑头像后不久,工作室便发文表示肖战ins账号被盗,但盗号仅为换头像,大多网友都表示盗号之说太没有说服力。

阿里巴巴安全部表示:盗号概率非常低总之,说盗号也不上传一下异地登录记录,也是说不过去了。

阿里巴巴安全部表示:盗号概率非常低



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: