如何讓我們的密碼更安全?
“請輸入賬號密碼……”這個我們在眾多網站司空見慣的模式,一不小心,就成為出賣我們信息最大的兇手。伴隨著互聯網誕生第一天就出現的個人密碼,在今天依然是普通用戶、網站管理員和黑客之間斗爭的永恒對象。如何保證密碼不被黑客盜取?沒有最安全的密碼,但我們至少可以讓自己的密碼變得更安全。
泄密探因
密碼要經過一段旅途
為什么會發生如此大規模的密碼泄露事件?中國軟件評測中心高級工程師朱璇表示,問題出在兩個方面,使用者的密碼設置過于簡單,網站管理出了問題。
當我們登錄一個普通網站時,密碼要經過這樣的一段旅途:我們先在鍵盤上輸入密碼,網站將其上傳到服務器,然后在服務器中保存,當我們丟失密碼時,需要通過某種驗證才能重新獲得密碼。
這每一個環節,都可能被黑客攻擊,獲得密碼。
在輸入密碼階段,黑客只需攻擊個人計算機終端,當計算機中了木馬病毒時,鍵盤里敲擊的密碼就可能被黑客截獲,病毒也可能搜索計算機文件,獲得里面和密碼相關的信息。
在密碼上傳階段,朱璇表示,密碼信息上傳到服務器,這段旅途雖短,但很多網站,包括一些論壇,都沒有把密碼明文加密的習慣,成為黑客攻擊的薄弱環節。
如果上傳的密碼過于簡單,也很容易被黑客用“暴力攻擊”的形式獲得,最常用的是“詞典式攻擊”。黑客手中會有一個海量密碼的詞典,如果用戶使用簡單的信息,如姓名、生日、電話等,黑客可以設計一個小程序,計算出來。因此,很多網站在登錄密碼頁面會使用驗證碼,防止電腦的詞典式攻擊。
服務器保存
明文保存密碼相當危險
密碼到達終點,即網站服務器,它的保存方式也被黑客盯上。此次密碼泄露,就是因為很多網站以明文形式保存用戶的密碼,而沒有任何加密,當黑客攻擊進入服務器后,就可以直接看到裸露的密碼原文。
果殼網“死理性派”主編吳蘇介紹,明文保存密碼相當危險,黑客只要獲得了密碼數據庫,再復雜的密碼,都可以看到。
他介紹,現在網站服務器已經有了很普遍的加密方法,叫做哈希函數。比如,英文里“狐貍在冰上跑”和“狐貍在冰上走”兩句話,通過哈希函數一轉化,很快變成了完全讓人摸不著頭腦的組合“52ED879E”和“46042841”。
但即使用了哈希函數加密,也不代表無懈可擊。
密碼分析學家阮風光說,如果一串被哈希過的密碼被盜,只要密碼過于簡單,黑客同樣可以獲得。
通常,黑客手中,都有一份很長的列表,稱為“碰撞庫”,里面儲存的是很多常用密碼對應的哈希值。朱璇介紹,現在網上有專門的網站對哈希值進行破解,根據密碼難度進行收費。“比如要破解admin123,屬于最常用的前1萬個密碼,你只要花1毛錢,如果密碼是123456,就可以給你免費破。”“萬惡之源是密碼過于簡單。”朱璇說。
密碼矛盾
安全和便利不可兼得
“互聯網安全問題分成管理層面和技術層面,密碼安全橫跨兩個層面。”朱璇說。
對于網站而言需要考慮的安全因素太多了。比如,開發代碼中是否存在漏洞,服務器所處的地理位置是否足夠安全,服務器是否有密碼,操作系統是否打了補丁,等等,任何一個環節出了漏洞,其他環節再安全,也可能被黑客攻進。
“一切都是需要花錢的,”阮風光說,“比如你要在服務器中對密碼進行加密,就可能需要雇用有安全背景的人來寫軟件。”
目前,科學家和工程師們也在盡量讓身份識別變得更為容易,如生物指紋、或視網膜鑒別等等方式,但即使這些額外的保護措施,同樣需要花錢。“人們得意識到,更高的安全度,就意味著更多的錢。”阮風光說。
他表示,計算機科學技術發展到今天,人們也一直沒解決密碼安全性和便利性的矛盾,始終沒有完美的解決方式。原則上,密碼越長,越安全,可是也越難記住,哪怕記在電腦或者紙上也是不安全的。此外,用戶如果在不同網站使用不同的密碼,也更安全,但是卻很不方便,很難記住這么多的密碼。“要安全,就得舍棄方便,要舍棄麻煩而圖便利,就可能不安全。”本報記者 金煜
想認識全國各地的創業者、創業專家,快來加入“中國創業圈”
|
