如何讓我們的密碼更安全? 安全和便利不可兼得--傳媒--人民網
人民網

如何讓我們的密碼更安全? 安全和便利不可兼得

2012年04月05日07:52    來源:《新京報》     手機看新聞

  • 打印
  • 網摘
  • 糾錯
  • 商城
  • 分享
  • 推薦
  • 字號
  


  “請輸入賬號密碼……”這個我們在眾多網站司空見慣的模式,一不小心,就成為出賣我們信息最大的凶手。伴隨著互聯網誕生第一天就出現的個人密碼,在今天依然是普通用戶、網站管理員和黑客之間斗爭的永恆對象。如何保証密碼不被黑客盜取?沒有最安全的密碼,但我們至少可以讓自己的密碼變得更安全。

  泄密探因

  密碼要經過一段旅途


  為什麼會發生如此大規模的密碼泄露事件?中國軟件評測中心高級工程師朱璇表示,問題出在兩個方面,使用者的密碼設置過於簡單,網站管理出了問題。

  當我們登錄一個普通網站時,密碼要經過這樣的一段旅途:我們先在鍵盤上輸入密碼,網站將其上傳到服務器,然后在服務器中保存,當我們丟失密碼時,需要通過某種驗証才能重新獲得密碼。

  這每一個環節,都可能被黑客攻擊,獲得密碼。

  在輸入密碼階段,黑客隻需攻擊個人計算機終端,當計算機中了木馬病毒時,鍵盤裡敲擊的密碼就可能被黑客截獲,病毒也可能搜索計算機文件,獲得裡面和密碼相關的信息。

  在密碼上傳階段,朱璇表示,密碼信息上傳到服務器,這段旅途雖短,但很多網站,包括一些論壇,都沒有把密碼明文加密的習慣,成為黑客攻擊的薄弱環節。

  如果上傳的密碼過於簡單,也很容易被黑客用“暴力攻擊”的形式獲得,最常用的是“詞典式攻擊”。黑客手中會有一個海量密碼的詞典,如果用戶使用簡單的信息,如姓名、生日、電話等,黑客可以設計一個小程序,計算出來。因此,很多網站在登錄密碼頁面會使用驗証碼,防止電腦的詞典式攻擊。

  服務器保存

  明文保存密碼相當危險


  密碼到達終點,即網站服務器,它的保存方式也被黑客盯上。此次密碼泄露,就是因為很多網站以明文形式保存用戶的密碼,而沒有任何加密,當黑客攻擊進入服務器后,就可以直接看到裸露的密碼原文。

  果殼網“死理性派”主編吳蘇介紹,明文保存密碼相當危險,黑客隻要獲得了密碼數據庫,再復雜的密碼,都可以看到。

  他介紹,現在網站服務器已經有了很普遍的加密方法,叫做哈希函數。比如,英文裡“狐狸在冰上跑”和“狐狸在冰上走”兩句話,通過哈希函數一轉化,很快變成了完全讓人摸不著頭腦的組合“52ED879E”和“46042841”。

  但即使用了哈希函數加密,也不代表無懈可擊。

  密碼分析學家阮風光說,如果一串被哈希過的密碼被盜,隻要密碼過於簡單,黑客同樣可以獲得。

  通常,黑客手中,都有一份很長的列表,稱為“碰撞庫”,裡面儲存的是很多常用密碼對應的哈希值。朱璇介紹,現在網上有專門的網站對哈希值進行破解,根據密碼難度進行收費。“比如要破解admin123,屬於最常用的前1萬個密碼,你隻要花1毛錢,如果密碼是123456,就可以給你免費破。”“萬惡之源是密碼過於簡單。”朱璇說。

  密碼矛盾

  安全和便利不可兼得


  “互聯網安全問題分成管理層面和技術層面,密碼安全橫跨兩個層面。”朱璇說。

  對於網站而言需要考慮的安全因素太多了。比如,開發代碼中是否存在漏洞,服務器所處的地理位置是否足夠安全,服務器是否有密碼,操作系統是否打了補丁,等等,任何一個環節出了漏洞,其他環節再安全,也可能被黑客攻進。

  “一切都是需要花錢的,”阮風光說,“比如你要在服務器中對密碼進行加密,就可能需要雇用有安全背景的人來寫軟件。”

  目前,科學家和工程師們也在盡量讓身份識別變得更為容易,如生物指紋、或視網膜鑒別等等方式,但即使這些額外的保護措施,同樣需要花錢。“人們得意識到,更高的安全度,就意味著更多的錢。”阮風光說。

  他表示,計算機科學技術發展到今天,人們也一直沒解決密碼安全性和便利性的矛盾,始終沒有完美的解決方式。原則上,密碼越長,越安全,可是也越難記住,哪怕記在電腦或者紙上也是不安全的。此外,用戶如果在不同網站使用不同的密碼,也更安全,但是卻很不方便,很難記住這麼多的密碼。“要安全,就得舍棄方便,要舍棄麻煩而圖便利,就可能不安全。”本報記者 金煜

  ■ 密碼防盜指南

  1 有足夠的安全意識,避免在社會層面受到密碼詐騙。

  2 不同安全等級的網站設不同強度的密碼。對於網銀等和個人利益直接相關的網站,一定要設置超強的密碼。

  3 測試網站的密碼安全性,在注冊一個網站時,如果你輸入密碼“123456”也能通過,這個網站肯定不安全。同樣,對密碼長度沒有要求,不能使用特殊字符,或者無法區分大小寫的網站的安全性能也不高。

  4 減少使用常用的個人信息,盡量不用自己的生日作為密碼。盡量使用和自己個人信息不相關,或者距離遠的信息。

  5 利用經典密碼學,設置自己的加密“函數”或規律。比如,你可以選取“不管三七二十一”,抽出其中的數字“3721”,對個別數字進行替換或移位,把“7”變成英文字母中的“L”,把“1”變成英文字母“i”,變成“3L2i”,這樣,密碼就稍微復雜一點。

  6 多組合密碼。搭配各類數字、字母、大小寫、特殊符號的組合,比如一個10位長的隨機密碼,由於常用鍵一共有95個,因此一共會有(95的10次方)種組合,較難在短時間內被“暴力”破解。你可以把“3L2i”加上符號變成“3#L*2 i#”。

  7 在你的密碼“3#L*2 i#”和另一個人的密碼“123456”之間,黑客肯定首先盜取后者的密碼,一旦一個網站的密碼發生泄露,你可以比有著簡單密碼的后者擁有更多的時間進行密碼修改。

  8 最后,隔一段時間,換一下自己的密碼,總是能讓密碼更安全的。

  ■ 歷史

  互聯網開創密碼伴生


  “互聯網開創第一天,就有了密碼。”清華大學高等研究院訪問學者,密碼分析學家阮風光說。上世紀60年代,互聯網雛形初現,當時的計算機體形龐大,一台就佔據整個機房。

  由於每台巨型計算機被很多人共享,為了辨別不同用戶身份,需要設置密碼,這也決定了此后互聯網設置密碼的目的:辨別使用者。

  事實上,密碼學要比計算機的歷史古老得多。從古羅馬時期開始,各國打仗時就常常使用密文形式來傳輸信息,二戰時密碼技術更是突飛猛進。今天,在小說如《達芬奇密碼》中,我們也時常能讀到讓人心馳神往的密碼破譯故事。

  中國軟件評測中心高級工程師朱璇介紹,古典密碼學主要有兩個基本原理,即“移位”和“替換”,比如,將數字往后移一位,3變成4, 7變成8,或者將字母A換成D,都可以起到加密作用。

  現代密碼學建立在傳統密碼學基礎上,但增加了大量數學、物理學、計算機科學的內容,其對當前互聯網技術發展、軍事及國家安全、以及商貿、金融等行業的發展起到了至關重要的作用。

  ■ 密碼泄露案例

  國外發生過多起嚴重的密碼泄露案件。

  1998年,互聯網安全網站CERT發現黑客襲擊了18.6萬多個加密密碼,其中,47642個密碼被盜。

  2009年,社交網站Rockyou.com發生嚴重密碼泄露,3200萬個密碼被盜,其密碼以明文形式在服務器上存儲。

  2011年,索尼公司連續遭受四輪黑客襲擊,致使過億用戶信息泄露,這些個人信息中包括用戶賬號密碼、電子郵箱、家庭住址、生日等信息。索尼公司公開致歉,美國聯邦調查局介入。此事成為近年來最大的網絡安全事件。

  2011年,第一個推行網絡實名制的國家韓國發生個人信息泄露事件。韓國青瓦台、外交通商部、國家情報院等國家機構等共40個網站遭到攻擊,造成大量用戶信息外泄。去年年底,韓國廣播通訊委員會提交報告,將逐步取消網絡實名制。

ceshi
 
(責任編輯:宋心蕊,燕帥)

手機讀報,精彩隨身,移動用戶發送到RMRB到10658000,訂閱人民日報手機報。
  • 傳媒推薦
  • 精彩博客