本篇文章2998字,读完约7分钟
黑客在网上世界猖獗,所以有多少人盯上了你的密码!在设置和使用自己的密码时,无论怎样小心都不为过
北京振邦律师事务所合伙人王福律师最近不断受到黑客攻击。他的电子邮件密码被盗,导致新浪微博、博客和电子邮件无法登录。王福向北京公安局报案,警察回答说:“因为没有财产损失,不可能处理。建议找一个网络服务提供商”。这家网络服务提供商表示,由于黑客继续攻击王福,给他所在社区的其他用户带来了麻烦,很多人因为断线而感到不满。根据王伟自己的经验,他说:“如果你不移动或改变你的网络服务提供商,这个问题就很难解决。”
在现代社会,密码在人们的生活中比比皆是,如打开钱包、打开电脑、进入工作场所、信用卡、手机、网上银行、邮箱、保险箱、电子门禁等。其中,有手机锁密码、蓝牙密码、飞信密码、通讯记录查询密码等。然而,使用这种高密度密码可能无法保证我们的安全。
在这篇文章发表时,新浪微博输入了关键词“密码被盗”,并发现了超过55万条相关结果。其中,不仅有普通用户,还有认证的专业人士,如艺人、商人、律师、作家、警察等。
密码的真实性
理想的密码设置应该是容易记忆且不易破解的,但人们在实践中往往更注重前者,而往往忽视后者。但我无法想象的是,一个围绕“密码”的新行业已经形成,有多少人在关注别人的密码!
一名黑客曾经从一个名为rockyou的社交游戏网站上窃取了3200万个密码,并发现其中36.5万个使用了“123456”或“12345”的密码。根据密码设置的可预测性,黑客编写了一个普通密码字典,为那些试图破解密码的人提供了方便。
由于很难获得足够大的样本,研究人员很难准确描述密码选择的不安全程度。像rockyou这样被入侵的网站提供了一个很大的样本,但是在使用这种信息进行分析和研究的时候存在道德问题。
最近,一篇提交给计算机安全研讨会的论文引起了人们的注意,作者透露了一些过去未知的密码秘密。这个研讨会是由纽约的专业组织电子电气工程师协会组织的。牛津大学的约瑟夫·邦努与雅虎合作!,并获得了迄今为止最大的7000万个密码样本。虽然样本中的用户是匿名的,但在这项研究中发现了一些有趣的现象。例如,年龄较大的用户比年龄较小的用户拥有更高的密码安全性(似乎对技术越熟悉的年轻人越不关心这些事情);在所有用户中,使用德语和韩语的用户设置密码的安全级别最高,而使用印度尼西亚语的用户设置密码的安全级别最低。与保护敏感信息(如信用卡)相关的密码只比不太重要的密码(如游戏用户)稍微安全一点。用户注册时的密码安全提示实际上不起作用;账户被黑客攻击的用户在重设密码时并不比那些从未遇到过问题的用户更加谨慎。
但是,计算机安全研究者最感兴趣的是对这个样本的一般性评论:尽管每个用户组的情况不同,但这7000万用户的密码总体上仍然是高度可预测的,整个样本和每个用户组都可以为破解密码制定一个有效的“字典”。领导这项研究的约瑟夫·邦努(Joseph Bonnu)坦率地说:“黑客们猜测的密码可以被破解十次,约占样本总数的1%。”对于黑客来说,这显然是一个“令人鼓舞”的结果。
小心
为了避免王福律师的无奈,有必要设置一个安全易记的密码。然而,容易记住的密码通常有规则可循,比如自己或家人的生日和电话号码,这是不安全的。如果你想安全,你必须没有规律性,比如数字、字母和标点符号的杂乱组合。然而,其他人无法猜出这样的密码,而且他们也不容易记住。
为了增加安全性和便利性,用户可以对他们的密码进行分类,例如三个级别:为在论坛中通过非实名认证的注册账户设置安全性较低的密码等。,并使用一个密码在不同的网站之间旅行;为电子邮件、支付宝和银行账户设置复杂的密码,密码可以由中文或英文单词的第一个字母和标点符号组成。为了更安全,你也可以用手机绑定在线账户密码。如果密码被修改或忘记,您可以通过短信找回它。
用户在上网时也要注意识别网站的安全级别。浏览器上可以安装一个插件,每次访问网站都会提示网站的安全级别。访问低安全级别的网站很可能会被特洛伊木马入侵,因此无论密码有多安全,它们都会通过特洛伊木马泄露给黑客。
另一种选择是使用多字密码,也称为“连词”。在密码中使用几个单词而不是一个单词会让黑客不得不猜测更多的字母。然而,前提是所选的连词不会被精通使用某种“连词词典”的人破解。
Bonnu和他的同事曾经分析过在线购物者亚马逊使用的联合密码系统,该系统允许美国用户从2009年10月到2012年2月使用该系统。他们发现,尽管连词确实比密码更安全,但它们并不像预期的那样理想。由四个或五个随机选择的单词组成的密码非常安全,但是记住它比记住几个随机选择的密码更困难。这再次表明,人们对“易记”的需求总是给黑客一个机会。
中国科学院信息安全国家重点实验室的张说:“密码实际上应该叫做密码,它是一种简单易行的识别用户身份的方法。在一些不重要或安全性较低的情况下,密码就足够了。例如,如果你在某个论坛注册了一个账户,那只是为了表达一些意见和阅读回复,即使你丢失或窃取了你的账户,也没关系。在安全性要求较高的情况下,可以结合其他方法来提高安全性,如绑定手机号码,登录时使用手机验证码,然后使用u盘、电子密码卡、动态密码卡等。”
网站的责任
目前,恶意窃取密码的方式有几种。黑客通过暴力破解,将一些常用的数字组合,如12345和常用单词组合编译成密码字典,然后通过程序猜测账户的密码。登录网站时,登录密码页面会提示使用验证码,以确认自然人正在登录网站,其目的是为了避免这种情况。第二种方法是通过特洛伊木马窃取密码。特洛伊木马利用计算机程序漏洞入侵用户的计算机,潜伏下来,记录帐户密码,然后将这些信息传输给特洛伊木马的“主人”。第三种方式是通过网络钓鱼窃取密码。网络钓鱼者向用户发送欺诈性电子邮件,通知他更改密码,用户更改密码的过程就是告诉“网络钓鱼者”密码的过程。
一个明显而有效的预防措施是,禁止在密码输入错误一定次数后登录网站,就像自动取款机实施的方法一样。虽然一些超大型网站如谷歌和微软已经采取了这样的措施,但许多网站还没有这样做。Bonnu和他的同事在2010年调查了150个大型网站,其中126个网站没有猜测次数的限制。
对于一些网站来说,因为没有什么特别有价值的东西,比如要保护的信用卡信息,密码安全可能不是一个很重要的问题。然而,对密码安全的宽松态度也会给具有良好安全性能的网站带来问题,因为人们通常在几个不同的网站上使用相同的密码。
张认为,网站应该对密码安全承担更大的责任。“不可否认,网民的安全意识参差不齐。但是即使网民知道如何设置一个安全的密码,许多人还是会放弃它,因为使用起来太麻烦了。我认为确保安全是网络应用提供商的责任,不应该假设网民愿意使用复杂的密码。"
根据360家网站的报告,2011年中国的网络安全水平普遍较低,约36%的网站存在高风险漏洞,约16%的网站存在中等风险漏洞,只有48%的网站存在安全漏洞。张说:“网络应用提供商拥有技术和资源,他们是核心。”确保网站的高安全性肯定比让成千上万的网民提高安全意识要容易得多。”
网络安全问题可能永远不会有最终答案,因为任何安全措施都是“烦人的”。经常坐飞机的人知道人们想要安全,但是他们想要一切都简单容易,这总是相互冲突的。只要这种冲突存在,安全就不是绝对的。★文字/李昆仑