如何讓我們的密碼更安全?
“請(qǐng)輸入賬號(hào)密碼……”這個(gè)我們?cè)诒姸嗑W(wǎng)站司空見(jiàn)慣的模式,一不小心,就成為出賣我們信息最大的兇手。伴隨著互聯(lián)網(wǎng)誕生第一天就出現(xiàn)的個(gè)人密碼,在今天依然是普通用戶、網(wǎng)站管理員和黑客之間斗爭(zhēng)的永恒對(duì)象。如何保證密碼不被黑客盜取?沒(méi)有最安全的密碼,但我們至少可以讓自己的密碼變得更安全。
泄密探因
密碼要經(jīng)過(guò)一段旅途
為什么會(huì)發(fā)生如此大規(guī)模的密碼泄露事件?中國(guó)軟件評(píng)測(cè)中心高級(jí)工程師朱璇表示,問(wèn)題出在兩個(gè)方面,使用者的密碼設(shè)置過(guò)于簡(jiǎn)單,網(wǎng)站管理出了問(wèn)題。
當(dāng)我們登錄一個(gè)普通網(wǎng)站時(shí),密碼要經(jīng)過(guò)這樣的一段旅途:我們先在鍵盤上輸入密碼,網(wǎng)站將其上傳到服務(wù)器,然后在服務(wù)器中保存,當(dāng)我們丟失密碼時(shí),需要通過(guò)某種驗(yàn)證才能重新獲得密碼。
這每一個(gè)環(huán)節(jié),都可能被黑客攻擊,獲得密碼。
在輸入密碼階段,黑客只需攻擊個(gè)人計(jì)算機(jī)終端,當(dāng)計(jì)算機(jī)中了木馬病毒時(shí),鍵盤里敲擊的密碼就可能被黑客截獲,病毒也可能搜索計(jì)算機(jī)文件,獲得里面和密碼相關(guān)的信息。
在密碼上傳階段,朱璇表示,密碼信息上傳到服務(wù)器,這段旅途雖短,但很多網(wǎng)站,包括一些論壇,都沒(méi)有把密碼明文加密的習(xí)慣,成為黑客攻擊的薄弱環(huán)節(jié)。
如果上傳的密碼過(guò)于簡(jiǎn)單,也很容易被黑客用“暴力攻擊”的形式獲得,最常用的是“詞典式攻擊”。黑客手中會(huì)有一個(gè)海量密碼的詞典,如果用戶使用簡(jiǎn)單的信息,如姓名、生日、電話等,黑客可以設(shè)計(jì)一個(gè)小程序,計(jì)算出來(lái)。因此,很多網(wǎng)站在登錄密碼頁(yè)面會(huì)使用驗(yàn)證碼,防止電腦的詞典式攻擊。
服務(wù)器保存
明文保存密碼相當(dāng)危險(xiǎn)
密碼到達(dá)終點(diǎn),即網(wǎng)站服務(wù)器,它的保存方式也被黑客盯上。此次密碼泄露,就是因?yàn)楹芏嗑W(wǎng)站以明文形式保存用戶的密碼,而沒(méi)有任何加密,當(dāng)黑客攻擊進(jìn)入服務(wù)器后,就可以直接看到裸露的密碼原文。
果殼網(wǎng)“死理性派”主編吳蘇介紹,明文保存密碼相當(dāng)危險(xiǎn),黑客只要獲得了密碼數(shù)據(jù)庫(kù),再?gòu)?fù)雜的密碼,都可以看到。
他介紹,現(xiàn)在網(wǎng)站服務(wù)器已經(jīng)有了很普遍的加密方法,叫做哈希函數(shù)。比如,英文里“狐貍在冰上跑”和“狐貍在冰上走”兩句話,通過(guò)哈希函數(shù)一轉(zhuǎn)化,很快變成了完全讓人摸不著頭腦的組合“52ED879E”和“46042841”。
但即使用了哈希函數(shù)加密,也不代表無(wú)懈可擊。
密碼分析學(xué)家阮風(fēng)光說(shuō),如果一串被哈希過(guò)的密碼被盜,只要密碼過(guò)于簡(jiǎn)單,黑客同樣可以獲得。
通常,黑客手中,都有一份很長(zhǎng)的列表,稱為“碰撞庫(kù)”,里面儲(chǔ)存的是很多常用密碼對(duì)應(yīng)的哈希值。朱璇介紹,現(xiàn)在網(wǎng)上有專門的網(wǎng)站對(duì)哈希值進(jìn)行破解,根據(jù)密碼難度進(jìn)行收費(fèi)。“比如要破解admin123,屬于最常用的前1萬(wàn)個(gè)密碼,你只要花1毛錢,如果密碼是123456,就可以給你免費(fèi)破。”“萬(wàn)惡之源是密碼過(guò)于簡(jiǎn)單。”朱璇說(shuō)。
密碼矛盾
安全和便利不可兼得
“互聯(lián)網(wǎng)安全問(wèn)題分成管理層面和技術(shù)層面,密碼安全橫跨兩個(gè)層面。”朱璇說(shuō)。
對(duì)于網(wǎng)站而言需要考慮的安全因素太多了。比如,開(kāi)發(fā)代碼中是否存在漏洞,服務(wù)器所處的地理位置是否足夠安全,服務(wù)器是否有密碼,操作系統(tǒng)是否打了補(bǔ)丁,等等,任何一個(gè)環(huán)節(jié)出了漏洞,其他環(huán)節(jié)再安全,也可能被黑客攻進(jìn)。
“一切都是需要花錢的,”阮風(fēng)光說(shuō),“比如你要在服務(wù)器中對(duì)密碼進(jìn)行加密,就可能需要雇用有安全背景的人來(lái)寫軟件。”
目前,科學(xué)家和工程師們也在盡量讓身份識(shí)別變得更為容易,如生物指紋、或視網(wǎng)膜鑒別等等方式,但即使這些額外的保護(hù)措施,同樣需要花錢。“人們得意識(shí)到,更高的安全度,就意味著更多的錢。”阮風(fēng)光說(shuō)。
他表示,計(jì)算機(jī)科學(xué)技術(shù)發(fā)展到今天,人們也一直沒(méi)解決密碼安全性和便利性的矛盾,始終沒(méi)有完美的解決方式。原則上,密碼越長(zhǎng),越安全,可是也越難記住,哪怕記在電腦或者紙上也是不安全的。此外,用戶如果在不同網(wǎng)站使用不同的密碼,也更安全,但是卻很不方便,很難記住這么多的密碼。“要安全,就得舍棄方便,要舍棄麻煩而圖便利,就可能不安全。”本報(bào)記者 金煜 本新聞共 4頁(yè),當(dāng)前在第 3頁(yè) 1 2 3 4 想認(rèn)識(shí)全國(guó)各地的創(chuàng)業(yè)者、創(chuàng)業(yè)專家,快來(lái)加入“中國(guó)創(chuàng)業(yè)圈”
|
