你的密码安全吗
2013-07-30 17:05:38你的密码安全吗
文/王连海
你知道吗?你有一个保守得不太好的秘密,而这个秘密足以彻底扰乱你的生活。这个秘密可能只是一串简单的数字——如果你比较粗心,这串数字只有6位,而如果你比较谨慎,这串数字可能是16位。这就是当你登录电脑、网站、电子邮箱或者网上银行时使用的账户密码。
网络时代密码令人很受伤
自从信息时代拉开帷幕,我们就想当然地认为精心设计的密码可以保护我们的隐私,保护我们的邮箱、银行账号、网上相册等。然而,近年来网站的账户密码泄露事件时有发生,这就意味着不管你的密码设计得多么复杂、多么独特,都无法保护你的隐私。如何保护自己的账户密码不被黑客盗用,已经成为了众多网民苦恼的问题。
人类很早就开始使用密码,但它从诞生伊始就有人着手破解。公元前413年,在伯罗奔尼撒战争中,古希腊将军狄摩西尼率领5000名士兵在西西里岛登陆准备袭击锡拉库扎。狄摩西尼的军队在夜晚混战中被打散了,为了重新集结,古希腊人开始高喊事先约定好的暗号。锡拉库扎人注意到了这个暗号,当遇到古希腊人的部队时他们就会喊出暗号混入敌军中。利用这条策略,弱小的锡拉库扎人打败了入侵者,这次战役成为了那场战争的转折点。
第一台使用密码的计算机是美国麻省理工学院在1961年开发的大型分时系统ctss。为了限制用户使用的时间,ctss设置了一个登录程序。1962年,一个名叫艾伦·斯科尔的博士生为了获得更多的使用时间,使用了一个简单的手段骗过了登录系统。他找到了包含所有用户名和密码的文件,然后把它们打印下来,这样就可以利用这些用户名和密码无限制上机了。
在网络时代初期,密码非常管用,因为那时我们需要保护的数据很少,最多就是电子邮箱。由于侵入私人账户没有太多的意义,真正的黑客都把目标锁定在大公司的信息系统。人们渐渐放松警惕,邮箱地址变成了一种通用的登录方式,几乎成为所有账号的用户名。现在,我们大多数人依然习惯通过邮箱地址登录网上各种各样的应用,处理银行业务、发微博、网上购物,甚至在网盘里储存自己的私密照片、重要文件和数据。最终,当黑客侵入个人账户的情况愈演愈烈后,人们才开始寻求更安全的密码保护,这也成为了很多网络公司吸引人们在其网站注册并储存信息的噱头。
然而,对于任何一个系统来说,最安全的并不意味着就是最好的。256位的16进制密码可以确保安全,但如果让你每次都输入这么繁琐的密码,你可能宁愿选择放弃登录自己的账户。为了让人们使用方便,安全性就必须大打折扣。于是,各大网络公司提出了折中的办法,建议人们把密码设计得更复杂一些,人们也以为只要密码足够长,里面即包含数字又包含字母,再加上标点符号,就万事大吉了。
事实并非如此。现在一台笔记本电脑的处理能力比10年前的一台高端工作站都强,破解一个长密码轻而易举。而且,新的黑客技术层出不穷,盗取账号密码犹如探囊取物。更重要的是,黑客可以完全不用密码直接攻击我们的账户。因此,不管密码设计得多长多复杂都是徒劳。近年来屡见不鲜的网站数据泄露事件就是最好的例证。
密码面临重重安全威胁
《孙子兵法》有云:“知己知彼,百战不殆。”要想保证自己账户密码的安全,就先要了解黑客是怎样想办法获取电脑或者网络系统的账户密码的。
我们先从最简单的黑客技术说起:猜解密码。这是一个非常简单但又非常有效的手段。在互联网中,有大量的人在使用简单且容易被预测的密码。2011年,金山公司列出了国内外使用最多的弱安全性密码。在这份榜单中,排在前列的是“12345678”“123456”“password”等密码。有很多黑客工具都能够自动破解简单密码,而黑客所需要的仅仅是拥有网络连接,再加上一份密码清单,便可以通过不断尝试来破解密码了。
黑客另一个常用的手段则是利用用户的错误——密码重用,即重复使用相同的密码。用户在注册不同的网站时,为了便于记忆往往采用相同的用户名和密码,此时如果其中一个网站的信息泄露,则用户注册的所有网站的内容都将受到黑客的威胁。黑客们还会通过欺骗来获取用户的密码,最常用的技术就是网络钓鱼。钓鱼网站上显示的内容与银行等网站上的内容高度相似,然后得到收信人在此网站上输入的个人敏感信息,而这时受害者毫无警觉。黑客们更为狡诈的盗取密码的方式是使用恶意软件。它们藏身于用户的电脑中,恶意收集用户信息,并秘密地向其他人发送你的数据。
近年来,有一种新型的黑客攻击方法越来越受到关注,这就是重置客户密码。它利用了整个密码保护系统中最脆弱的环节——人的记忆力。复杂的密码容易被遗忘,任何基于密码的系统都需要一种机制来重置用户的账号密码。为了方便用户,这个重置密码的过程不能过于繁琐,黑客正是利用这个特点来窃取用户的账号和密码。常见的密码保护问题有:“我的老婆/老公叫什么?”“我是哪里人?”“我的小学在哪里?”等,如果这些问题的答案可以被搜集到,那么他就能够冒充真正的用户,谎称忘记密码,从而利用系统的密码保护功能,重新设置密码,侵入用户账户。即便上述的方法无法奏效,黑客也可以通过掌握的部分信息,比如身份证号码,向客服人员申诉,从而达到冒充真正用户,盗取账户密码的目的。
另外,软硬件的漏洞也是黑客攻击利用的重要手段。由于某些型号的无线路由器存在某个无需授权认证的特定功能页面,恶意攻击者访问该页面后,可引导路由器自动下载恶意代码,从而获得路由器的最高权限。借此,入侵者可以通过操控路由器来安装插件、木马病毒或者直接记录用户在网上的一举一动,获取qq密码、网上银行账号等都不在话下。
近年来,社交网络、移动互联网、云计算等新型网络应用的涌现,将人、信息和资源越来越紧密地关联在一起,也为黑客攻击提供了可乘之机。针对人人网、开心网等社交网站,黑客在攻入并窃取账户后,一方面可以利用此社交网站继续散布病毒和恶意软件,另一方面利用越来越多的用户将社交平台在电脑和移动智能终端互用,窃取电脑和移动智能终端中的用户隐私信息。随着智能终端的普及,智能终端已经成为黑客攻击的主要目标。手机病毒层出不穷,用户一旦感染病毒,会造成信息泄露、流量消耗等恶果。此外,越来越多的移动用户将自己的资料和大量有价值的信息转移到云端,这些“云”正在成为黑客攻击的新目标。
――――――――――――――――――――――
小链接
自己动手保护自己的隐私
了解了黑客的作案手法,我们应该采取怎样的措施来保护自己的账号和密码呢?首先,我们需要避免犯以下4个错误。
1.避免密码重用,防止黑客获得你所有账号的权限。
2.避免用字典中的词作为你的密码,防止黑客轻易猜解密码。
3.避免使用变形的常用口令,比如“p455w@rd”(因类似“password”而便于记忆),其实流行的密码破解工具可以轻松地破解此类密码。
4.不要使用短的密码——无论是多么特殊的组合(如“h6!r$q”),你最好的防御就是使用尽可能长的密码。
其次,我们应该马上着手下面的6件事,它们能够让你的账号更难被黑客破解。
1.启用双重认证,用手机接收网站的验证码,让黑客望而却步。
2.向安全问题提供假答案,比如“我的家乡在哪里?”,答案完全可以是“我吃过了!”。
3.创建一个名称与自己的用户名毫无关联的特殊邮件账户,仅用于执行密码恢复,防止黑客重置密码。
4.尽可能使用长的复杂的密码,而且要定期更换,以保证账户安全。
5.安全使用网络,及时清除上网痕迹,不要把秘密留在网络上,不要给不怀好意的人留下可乘之机。
6.及时安装系统安全补丁,有效防范黑客利用漏洞入侵系统。
总而言之,在现阶段的网络环境中已经没有绝对安全的账户密码,为保障个人隐私的安全,应尽量避免将隐私信息保存在互联网上。