如果上傳的密碼過(guò)于簡(jiǎn)單,也很容易被黑客用“暴力攻擊”的形式獲得,最常用的是“詞典式攻擊”。黑客手中會(huì)有一個(gè)海量密碼的詞典,如果用戶(hù)使用簡(jiǎn)單的信息,如姓名、生日、電話等,黑客可以設(shè)計(jì)一個(gè)小程序,計(jì)算出來(lái)。因此,很多網(wǎng)站在登錄密碼頁(yè)面會(huì)使用驗(yàn)證碼,防止電腦的詞典式攻擊。
服務(wù)器保存
明文保存密碼相當(dāng)危險(xiǎn)
密碼到達(dá)終點(diǎn),即網(wǎng)站服務(wù)器,它的保存方式也被黑客盯上。此次密碼泄露,就是因?yàn)楹芏嗑W(wǎng)站以明文形式保存用戶(hù)的密碼,而沒(méi)有任何加密,當(dāng)黑客攻擊進(jìn)入服務(wù)器后,就可以直接看到裸露的密碼原文。
果殼網(wǎng)“死理性派”主編吳蘇介紹,明文保存密碼相當(dāng)危險(xiǎn),黑客只要獲得了密碼數(shù)據(jù)庫(kù),再?gòu)?fù)雜的密碼,都可以看到。
他介紹,現(xiàn)在網(wǎng)站服務(wù)器已經(jīng)有了很普遍的加密方法,叫做哈希函數(shù)。比如,英文里“狐貍在冰上跑”和“狐貍在冰上走”兩句話,通過(guò)哈希函數(shù)一轉(zhuǎn)化,很快變成了完全讓人摸不著頭腦的組合“52ED879E”和“46042841”。
但即使用了哈希函數(shù)加密,也不代表無(wú)懈可擊。
密碼分析學(xué)家阮風(fēng)光說(shuō),如果一串被哈希過(guò)的密碼被盜,只要密碼過(guò)于簡(jiǎn)單,黑客同樣可以獲得。
通常,黑客手中,都有一份很長(zhǎng)的列表,稱(chēng)為“碰撞庫(kù)”,里面儲(chǔ)存的是很多常用密碼對(duì)應(yīng)的哈希值。朱璇介紹,現(xiàn)在網(wǎng)上有專(zhuān)門(mén)的網(wǎng)站對(duì)哈希值進(jìn)行破解,根據(jù)密碼難度進(jìn)行收費(fèi)。“比如要破解admin123,屬于最常用的前1萬(wàn)個(gè)密碼,你只要花1毛錢(qián),如果密碼是123456,就可以給你免費(fèi)破。”“萬(wàn)惡之源是密碼過(guò)于簡(jiǎn)單。”朱璇說(shuō)。
密碼矛盾
安全和便利不可兼得
“互聯(lián)網(wǎng)安全問(wèn)題分成管理層面和技術(shù)層面,密碼安全橫跨兩個(gè)層面。”朱璇說(shuō)。
對(duì)于網(wǎng)站而言需要考慮的安全因素太多了。比如,開(kāi)發(fā)代碼中是否存在漏洞,服務(wù)器所處的地理位置是否足夠安全,服務(wù)器是否有密碼,操作系統(tǒng)是否打了補(bǔ)丁,等等,任何一個(gè)環(huán)節(jié)出了漏洞,其他環(huán)節(jié)再安全,也可能被黑客攻進(jìn)。
“一切都是需要花錢(qián)的,”阮風(fēng)光說(shuō),“比如你要在服務(wù)器中對(duì)密碼進(jìn)行加密,就可能需要雇用有安全背景的人來(lái)寫(xiě)軟件。”
目前,科學(xué)家和工程師們也在盡量讓身份識(shí)別變得更為容易,如生物指紋、或視網(wǎng)膜鑒別等等方式,但即使這些額外的保護(hù)措施,同樣需要花錢(qián)。“人們得意識(shí)到,更高的安全度,就意味著更多的錢(qián)。”阮風(fēng)光說(shuō)。
他表示,計(jì)算機(jī)科學(xué)技術(shù)發(fā)展到今天,人們也一直沒(méi)解決密碼安全性和便利性的矛盾,始終沒(méi)有完美的解決方式。原則上,密碼越長(zhǎng),越安全,可是也越難記住,哪怕記在電腦或者紙上也是不安全的。此外,用戶(hù)如果在不同網(wǎng)站使用不同的密碼,也更安全,但是卻很不方便,很難記住這么多的密碼。“要安全,就得舍棄方便,要舍棄麻煩而圖便利,就可能不安全。”本報(bào)記者 金煜
■ 密碼防盜指南
1 有足夠的安全意識(shí),避免在社會(huì)層面受到密碼詐騙。
2 不同安全等級(jí)的網(wǎng)站設(shè)不同強(qiáng)度的密碼。對(duì)于網(wǎng)銀等和個(gè)人利益直接相關(guān)的網(wǎng)站,一定要設(shè)置超強(qiáng)的密碼。
3 測(cè)試網(wǎng)站的密碼安全性,在注冊(cè)一個(gè)網(wǎng)站時(shí),如果你輸入密碼“123456”也能通過(guò),這個(gè)網(wǎng)站肯定不安全。同樣,對(duì)密碼長(zhǎng)度沒(méi)有要求,不能使用特殊字符,或者無(wú)法區(qū)分大小寫(xiě)的網(wǎng)站的安全性能也不高。
4 減少使用常用的個(gè)人信息,盡量不用自己的生日作為密碼。盡量使用和自己個(gè)人信息不相關(guān),或者距離遠(yuǎn)的信息。
5 利用經(jīng)典密碼學(xué),設(shè)置自己的加密“函數(shù)”或規(guī)律。比如,你可以選取“不管三七二十一”,抽出其中的數(shù)字“3721”,對(duì)個(gè)別數(shù)字進(jìn)行替換或移位,把“7”變成英文字母中的“L”,把“1”變成英文字母“i”,變成“3L2i”,這樣,密碼就稍微復(fù)雜一點(diǎn)。
6 多組合密碼。搭配各類(lèi)數(shù)字、字母、大小寫(xiě)、特殊符號(hào)的組合,比如一個(gè)10位長(zhǎng)的隨機(jī)密碼,由于常用鍵一共有95個(gè),因此一共會(huì)有(95的10次方)種組合,較難在短時(shí)間內(nèi)被“暴力”破解。你可以把“3L2i”加上符號(hào)變成“3#L*2 i#”。
(責(zé)任編輯:鑫報(bào))