密碼泄露探因:明文保存密碼相當(dāng)危險(xiǎn) |
發(fā)布時(shí)間: 2012/7/11 9:45:58 |
“請(qǐng)輸入賬號(hào)密碼……”這個(gè)我們?cè)诒姸嗑W(wǎng)站司空見慣的模式,一不小心,就成為出賣我們信息最大的兇手。伴隨著互聯(lián)網(wǎng)誕生第一天就出現(xiàn)的個(gè)人密碼,在今天依然是普通用戶、網(wǎng)站管理員和黑客之間斗爭(zhēng)的永恒對(duì)象。如何保證密碼不被黑客盜。繘]有最安全的密碼,但我們至少可以讓自己的密碼變得更安全。
泄密探因 密碼要經(jīng)過一段旅途 為什么會(huì)發(fā)生如此大規(guī)模的密碼泄露事件?中國軟件評(píng)測(cè)中心高級(jí)工程師朱璇表示,問題出在兩個(gè)方面,使用者的密碼設(shè)置過于簡單,網(wǎng)站管理出了問題。 當(dāng)我們登錄一個(gè)普通網(wǎng)站時(shí),密碼要經(jīng)過這樣的一段旅途:我們先在鍵盤上輸入密碼,網(wǎng)站將其上傳到服務(wù)器,然后在服務(wù)器中保存,當(dāng)我們丟失密碼時(shí),需要通過某種驗(yàn)證才能重新獲得密碼。 這每一個(gè)環(huán)節(jié),都可能被黑客攻擊,獲得密碼。 在輸入密碼階段,黑客只需攻擊個(gè)人計(jì)算機(jī)終端,當(dāng)計(jì)算機(jī)中了木馬病毒時(shí),鍵盤里敲擊的密碼就可能被黑客截獲,病毒也可能搜索計(jì)算機(jī)文件,獲得里面和密碼相關(guān)的信息。 在密碼上傳階段,朱璇表示,密碼信息上傳到服務(wù)器,這段旅途雖短,但很多網(wǎng)站,包括一些論壇,都沒有把密碼明文加密的習(xí)慣,成為黑客攻擊的薄弱環(huán)節(jié)。 如果上傳的密碼過于簡單,也很容易被黑客用“暴力攻擊”的形式獲得,最常用的是“詞典式攻擊”。黑客手中會(huì)有一個(gè)海量密碼的詞典,如果用戶使用簡單的信息,如姓名、生日、電話等,黑客可以設(shè)計(jì)一個(gè)小程序,計(jì)算出來。因此,很多網(wǎng)站在登錄密碼頁面會(huì)使用驗(yàn)證碼,防止電腦的詞典式攻擊。 服務(wù)器保存 明文保存密碼相當(dāng)危險(xiǎn) 密碼到達(dá)終點(diǎn),即網(wǎng)站服務(wù)器,它的保存方式也被黑客盯上。此次密碼泄露,就是因?yàn)楹芏嗑W(wǎng)站以明文形式保存用戶的密碼,而沒有任何加密,當(dāng)黑客攻擊進(jìn)入服務(wù)器后,就可以直接看到裸露的密碼原文。 果殼網(wǎng)“死理性派”主編吳蘇介紹,明文保存密碼相當(dāng)危險(xiǎn),黑客只要獲得了密碼數(shù)據(jù)庫,再復(fù)雜的密碼,都可以看到。 他介紹,現(xiàn)在網(wǎng)站服務(wù)器已經(jīng)有了很普遍的加密方法,叫做哈希函數(shù)。比如,英文里“狐貍在冰上跑”和“狐貍在冰上走”兩句話,通過哈希函數(shù)一轉(zhuǎn)化,很快變成了完全讓人摸不著頭腦的組合“52ED879E”和“46042841”。 但即使用了哈希函數(shù)加密,也不代表無懈可擊。 密碼分析學(xué)家阮風(fēng)光說,如果一串被哈希過的密碼被盜,只要密碼過于簡單,黑客同樣可以獲得。 通常,黑客手中,都有一份很長的列表,稱為“碰撞庫”,里面儲(chǔ)存的是很多常用密碼對(duì)應(yīng)的哈希值。朱璇介紹,現(xiàn)在網(wǎng)上有專門的網(wǎng)站對(duì)哈希值進(jìn)行破解,根據(jù)密碼難度進(jìn)行收費(fèi)。“比如要破解admin123,屬于最常用的前1萬個(gè)密碼,你只要花1毛錢,如果密碼是123456,就可以給你免費(fèi)破。”“萬惡之源是密碼過于簡單。”朱璇說。 密碼矛盾 安全和便利不可兼得 “互聯(lián)網(wǎng)安全問題分成管理層面和技術(shù)層面,密碼安全橫跨兩個(gè)層面。”朱璇說。 對(duì)于網(wǎng)站而言需要考慮的安全因素太多了。比如,開發(fā)代碼中是否存在漏洞,服務(wù)器所處的地理位置是否足夠安全,服務(wù)器是否有密碼,操作系統(tǒng)是否打了補(bǔ)丁,等等,任何一個(gè)環(huán)節(jié)出了漏洞,其他環(huán)節(jié)再安全,也可能被黑客攻進(jìn)。 “一切都是需要花錢的,”阮風(fēng)光說,“比如你要在服務(wù)器中對(duì)密碼進(jìn)行加密,就可能需要雇用有安全背景的人來寫軟件。” 目前,科學(xué)家和工程師們也在盡量讓身份識(shí)別變得更為容易,如生物指紋、或視網(wǎng)膜鑒別等等方式,但即使這些額外的保護(hù)措施,同樣需要花錢。“人們得意識(shí)到,更高的安全度,就意味著更多的錢。”阮風(fēng)光說。 他表示,計(jì)算機(jī)科學(xué)技術(shù)發(fā)展到今天,人們也一直沒解決密碼安全性和便利性的矛盾,始終沒有完美的解決方式。原則上,密碼越長,越安全,可是也越難記住,哪怕記在電腦或者紙上也是不安全的。此外,用戶如果在不同網(wǎng)站使用不同的密碼,也更安全,但是卻很不方便,很難記住這么多的密碼。“要安全,就得舍棄方便,要舍棄麻煩而圖便利,就可能不安全。”本報(bào)記者金煜 密碼防盜指南 1有足夠的安全意識(shí),避免在社會(huì)層面受到密碼詐騙。 2不同安全等級(jí)的網(wǎng)站設(shè)不同強(qiáng)度的密碼。對(duì)于網(wǎng)銀等和個(gè)人利益直接相關(guān)的網(wǎng)站,一定要設(shè)置超強(qiáng)的密碼。 3測(cè)試網(wǎng)站的密碼安全性,在注冊(cè)一個(gè)網(wǎng)站時(shí),如果你輸入密碼“123456”也能通過,這個(gè)網(wǎng)站肯定不安全。同樣,對(duì)密碼長度沒有要求,不能使用特殊字符,或者無法區(qū)分大小寫的網(wǎng)站的安全性能也不高。 4減少使用常用的個(gè)人信息,盡量不用自己的生日作為密碼。盡量使用和自己個(gè)人信息不相關(guān),或者距離遠(yuǎn)的信息。 5利用經(jīng)典密碼學(xué),設(shè)置自己的加密“函數(shù)”或規(guī)律。比如,你可以選取“不管三七二十一”,抽出其中的數(shù)字“3721”,對(duì)個(gè)別數(shù)字進(jìn)行替換或移位,把“7”變成英文字母中的“L”,把“1”變成英文字母“i”,變成“3L2i”,這樣,密碼就稍微復(fù)雜一點(diǎn)。 6多組合密碼。搭配各類數(shù)字、字母、大小寫、特殊符號(hào)的組合,比如一個(gè)10位長的隨機(jī)密碼,由于常用鍵一共有95個(gè),因此一共會(huì)有(95的10次方)種組合,較難在短時(shí)間內(nèi)被“暴力”破解。你可以把“3L2i”加上符號(hào)變成“3#L*2i#”。 7在你的密碼“3#L*2i#”和另一個(gè)人的密碼“123456”之間,黑客肯定首先盜取后者的密碼,一旦一個(gè)網(wǎng)站的密碼發(fā)生泄露,你可以比有著簡單密碼的后者擁有更多的時(shí)間進(jìn)行密碼修改。 8最后,隔一段時(shí)間,換一下自己的密碼,總是能讓密碼更安全的。 歷史 互聯(lián)網(wǎng)開創(chuàng)密碼伴生 “互聯(lián)網(wǎng)開創(chuàng)第一天,就有了密碼。”清華大學(xué)高等研究院訪問學(xué)者,密碼分析學(xué)家阮風(fēng)光說。上世紀(jì)60年代,互聯(lián)網(wǎng)雛形初現(xiàn),當(dāng)時(shí)的計(jì)算機(jī)體形龐大,一臺(tái)就占據(jù)整個(gè)機(jī)房。 由于每臺(tái)巨型計(jì)算機(jī)被很多人共享,為了辨別不同用戶身份,需要設(shè)置密碼,這也決定了此后互聯(lián)網(wǎng)設(shè)置密碼的目的:辨別使用者。 事實(shí)上,密碼學(xué)要比計(jì)算機(jī)的歷史古老得多。從古羅馬時(shí)期開始,各國打仗時(shí)就常常使用密文形式來傳輸信息,二戰(zhàn)時(shí)密碼技術(shù)更是突飛猛進(jìn)。今天,在小說如《達(dá)芬奇密碼》中,我們也時(shí)常能讀到讓人心馳神往的密碼破譯故事。 中國軟件評(píng)測(cè)中心高級(jí)工程師朱璇介紹,古典密碼學(xué)主要有兩個(gè)基本原理,即“移位”和“替換”,比如,將數(shù)字往后移一位,3變成4,7變成8,或者將字母A換成D,都可以起到加密作用。 現(xiàn)代密碼學(xué)建立在傳統(tǒng)密碼學(xué)基礎(chǔ)上,但增加了大量數(shù)學(xué)、物理學(xué)、計(jì)算機(jī)科學(xué)的內(nèi)容,其對(duì)當(dāng)前互聯(lián)網(wǎng)技術(shù)發(fā)展、軍事及國家安全、以及商貿(mào)、金融等行業(yè)的發(fā)展起到了至關(guān)重要的作用。 密碼泄露案例 國外發(fā)生過多起嚴(yán)重的密碼泄露案件 1998年,互聯(lián)網(wǎng)安全網(wǎng)站CERT發(fā)現(xiàn)黑客襲擊了18.6萬多個(gè)加密密碼,其中,47642個(gè)密碼被盜。 2009年,社交網(wǎng)站Rock you.com發(fā)生嚴(yán)重密碼泄露,3200萬個(gè)密碼被盜,其密碼以明文形式在服務(wù)器上存儲(chǔ)。 2011年,索尼公司連續(xù)遭受四輪黑客襲擊,致使過億用戶信息泄露,這些個(gè)人信息中包括用戶賬號(hào)密碼、電子郵箱、家庭住址、生日等信息。索尼公司公開致歉,美國聯(lián)邦調(diào)查局介入。此事成為近年來最大的網(wǎng)絡(luò)安全事件。 2011年,第一個(gè)推行網(wǎng)絡(luò)實(shí)名制的國家韓國發(fā)生個(gè)人信息泄露事件。韓國青瓦臺(tái)、外交通商部、國家情報(bào)院等國家機(jī)構(gòu)等共40個(gè)網(wǎng)站遭到攻擊,造成大量用戶信息外泄。去年年底,韓國廣播通訊委員會(huì)提交報(bào)告,將逐步取消網(wǎng)絡(luò)實(shí)名制。 本文出自:億恩科技【www.allwellnessguide.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |