|
“請(qǐng)輸入賬號(hào)密碼……”這個(gè)我們?cè)诒姸嗑W(wǎng)站司空見慣的模式,一不小心����,就成為出賣我們信息最大的兇手。伴隨著互聯(lián)網(wǎng)誕生第一天就出現(xiàn)的個(gè)人密碼��,在今天依然是普通用戶���、網(wǎng)站管理員和黑客之間斗爭(zhēng)的永恒對(duì)象。如何保證密碼不被黑客盜�。繘]有最安全的密碼�,但我們至少可以讓自己的密碼變得更安全。
泄密探因
密碼要經(jīng)過一段旅途
為什么會(huì)發(fā)生如此大規(guī)模的密碼泄露事件��?中國軟件評(píng)測(cè)中心高級(jí)工程師朱璇表示���,問題出在兩個(gè)方面��,使用者的密碼設(shè)置過于簡單�����,網(wǎng)站管理出了問題�。
當(dāng)我們登錄一個(gè)普通網(wǎng)站時(shí)�,密碼要經(jīng)過這樣的一段旅途:我們先在鍵盤上輸入密碼,網(wǎng)站將其上傳到服務(wù)器����,然后在服務(wù)器中保存��,當(dāng)我們丟失密碼時(shí)���,需要通過某種驗(yàn)證才能重新獲得密碼。
這每一個(gè)環(huán)節(jié)�����,都可能被黑客攻擊����,獲得密碼。
在輸入密碼階段�,黑客只需攻擊個(gè)人計(jì)算機(jī)終端,當(dāng)計(jì)算機(jī)中了木馬病毒時(shí)�,鍵盤里敲擊的密碼就可能被黑客截獲,病毒也可能搜索計(jì)算機(jī)文件����,獲得里面和密碼相關(guān)的信息。
在密碼上傳階段���,朱璇表示�����,密碼信息上傳到服務(wù)器����,這段旅途雖短,但很多網(wǎng)站���,包括一些論壇,都沒有把密碼明文加密的習(xí)慣���,成為黑客攻擊的薄弱環(huán)節(jié)��。
如果上傳的密碼過于簡單�����,也很容易被黑客用“暴力攻擊”的形式獲得�����,最常用的是“詞典式攻擊”���。黑客手中會(huì)有一個(gè)海量密碼的詞典��,如果用戶使用簡單的信息���,如姓名、生日�����、電話等�����,黑客可以設(shè)計(jì)一個(gè)小程序�,計(jì)算出來。因此��,很多網(wǎng)站在登錄密碼頁面會(huì)使用驗(yàn)證碼�����,防止電腦的詞典式攻擊����。
服務(wù)器保存
明文保存密碼相當(dāng)危險(xiǎn)
密碼到達(dá)終點(diǎn),即網(wǎng)站服務(wù)器��,它的保存方式也被黑客盯上。此次密碼泄露�����,就是因?yàn)楹芏嗑W(wǎng)站以明文形式保存用戶的密碼�����,而沒有任何加密�,當(dāng)黑客攻擊進(jìn)入服務(wù)器后,就可以直接看到裸露的密碼原文�。
果殼網(wǎng)“死理性派”主編吳蘇介紹,明文保存密碼相當(dāng)危險(xiǎn)����,黑客只要獲得了密碼數(shù)據(jù)庫���,再復(fù)雜的密碼�����,都可以看到��。
他介紹���,現(xiàn)在網(wǎng)站服務(wù)器已經(jīng)有了很普遍的加密方法��,叫做哈希函數(shù)����。比如����,英文里“狐貍在冰上跑”和“狐貍在冰上走”兩句話,通過哈希函數(shù)一轉(zhuǎn)化�,很快變成了完全讓人摸不著頭腦的組合“52ED879E”和“46042841”。
但即使用了哈希函數(shù)加密�,也不代表無懈可擊。
密碼分析學(xué)家阮風(fēng)光說��,如果一串被哈希過的密碼被盜�����,只要密碼過于簡單�����,黑客同樣可以獲得。
通常��,黑客手中��,都有一份很長的列表����,稱為“碰撞庫”,里面儲(chǔ)存的是很多常用密碼對(duì)應(yīng)的哈希值�����。朱璇介紹��,現(xiàn)在網(wǎng)上有專門的網(wǎng)站對(duì)哈希值進(jìn)行破解��,根據(jù)密碼難度進(jìn)行收費(fèi)���。“比如要破解admin123,屬于最常用的前1萬個(gè)密碼���,你只要花1毛錢�,如果密碼是123456����,就可以給你免費(fèi)破�。”“萬惡之源是密碼過于簡單�����。”朱璇說���。
密碼矛盾
安全和便利不可兼得
“互聯(lián)網(wǎng)安全問題分成管理層面和技術(shù)層面�����,密碼安全橫跨兩個(gè)層面����。”朱璇說�����。
對(duì)于網(wǎng)站而言需要考慮的安全因素太多了���。比如����,開發(fā)代碼中是否存在漏洞,服務(wù)器所處的地理位置是否足夠安全���,服務(wù)器是否有密碼��,操作系統(tǒng)是否打了補(bǔ)丁���,等等,任何一個(gè)環(huán)節(jié)出了漏洞��,其他環(huán)節(jié)再安全��,也可能被黑客攻進(jìn)����。
“一切都是需要花錢的,”阮風(fēng)光說���,“比如你要在服務(wù)器中對(duì)密碼進(jìn)行加密�,就可能需要雇用有安全背景的人來寫軟件�����。”
目前���,科學(xué)家和工程師們也在盡量讓身份識(shí)別變得更為容易�,如生物指紋�、或視網(wǎng)膜鑒別等等方式,但即使這些額外的保護(hù)措施�����,同樣需要花錢��。“人們得意識(shí)到�,更高的安全度,就意味著更多的錢��。”阮風(fēng)光說�����。
他表示���,計(jì)算機(jī)科學(xué)技術(shù)發(fā)展到今天�,人們也一直沒解決密碼安全性和便利性的矛盾�,始終沒有完美的解決方式。原則上�����,密碼越長,越安全�����,可是也越難記住�����,哪怕記在電腦或者紙上也是不安全的�����。此外�,用戶如果在不同網(wǎng)站使用不同的密碼,也更安全���,但是卻很不方便����,很難記住這么多的密碼��。“要安全���,就得舍棄方便����,要舍棄麻煩而圖便利��,就可能不安全�����。”本報(bào)記者金煜
密碼防盜指南
1有足夠的安全意識(shí)�,避免在社會(huì)層面受到密碼詐騙。
2不同安全等級(jí)的網(wǎng)站設(shè)不同強(qiáng)度的密碼�。對(duì)于網(wǎng)銀等和個(gè)人利益直接相關(guān)的網(wǎng)站,一定要設(shè)置超強(qiáng)的密碼����。
3測(cè)試網(wǎng)站的密碼安全性,在注冊(cè)一個(gè)網(wǎng)站時(shí)�����,如果你輸入密碼“123456”也能通過��,這個(gè)網(wǎng)站肯定不安全�。同樣��,對(duì)密碼長度沒有要求����,不能使用特殊字符�,或者無法區(qū)分大小寫的網(wǎng)站的安全性能也不高。
4減少使用常用的個(gè)人信息�����,盡量不用自己的生日作為密碼�。盡量使用和自己個(gè)人信息不相關(guān),或者距離遠(yuǎn)的信息����。
5利用經(jīng)典密碼學(xué),設(shè)置自己的加密“函數(shù)”或規(guī)律�。比如,你可以選取“不管三七二十一”�,抽出其中的數(shù)字“3721”,對(duì)個(gè)別數(shù)字進(jìn)行替換或移位�,把“7”變成英文字母中的“L”,把“1”變成英文字母“i”�����,變成“3L2i”,這樣���,密碼就稍微復(fù)雜一點(diǎn)�。
6多組合密碼���。搭配各類數(shù)字、字母�����、大小寫�、特殊符號(hào)的組合,比如一個(gè)10位長的隨機(jī)密碼�����,由于常用鍵一共有95個(gè)�����,因此一共會(huì)有(95的10次方)種組合�����,較難在短時(shí)間內(nèi)被“暴力”破解。你可以把“3L2i”加上符號(hào)變成“3#L*2i#”�。
7在你的密碼“3#L*2i#”和另一個(gè)人的密碼“123456”之間,黑客肯定首先盜取后者的密碼�,一旦一個(gè)網(wǎng)站的密碼發(fā)生泄露,你可以比有著簡單密碼的后者擁有更多的時(shí)間進(jìn)行密碼修改��。
8最后����,隔一段時(shí)間,換一下自己的密碼�,總是能讓密碼更安全的。
歷史
互聯(lián)網(wǎng)開創(chuàng)密碼伴生
“互聯(lián)網(wǎng)開創(chuàng)第一天����,就有了密碼。”清華大學(xué)高等研究院訪問學(xué)者���,密碼分析學(xué)家阮風(fēng)光說�。上世紀(jì)60年代�����,互聯(lián)網(wǎng)雛形初現(xiàn),當(dāng)時(shí)的計(jì)算機(jī)體形龐大���,一臺(tái)就占據(jù)整個(gè)機(jī)房���。
由于每臺(tái)巨型計(jì)算機(jī)被很多人共享,為了辨別不同用戶身份����,需要設(shè)置密碼,這也決定了此后互聯(lián)網(wǎng)設(shè)置密碼的目的:辨別使用者�����。
事實(shí)上���,密碼學(xué)要比計(jì)算機(jī)的歷史古老得多。從古羅馬時(shí)期開始�����,各國打仗時(shí)就常常使用密文形式來傳輸信息�,二戰(zhàn)時(shí)密碼技術(shù)更是突飛猛進(jìn)。今天�,在小說如《達(dá)芬奇密碼》中,我們也時(shí)常能讀到讓人心馳神往的密碼破譯故事。
中國軟件評(píng)測(cè)中心高級(jí)工程師朱璇介紹�,古典密碼學(xué)主要有兩個(gè)基本原理,即“移位”和“替換”�,比如,將數(shù)字往后移一位�����,3變成4,7變成8�����,或者將字母A換成D��,都可以起到加密作用��。
現(xiàn)代密碼學(xué)建立在傳統(tǒng)密碼學(xué)基礎(chǔ)上���,但增加了大量數(shù)學(xué)�、物理學(xué)����、計(jì)算機(jī)科學(xué)的內(nèi)容,其對(duì)當(dāng)前互聯(lián)網(wǎng)技術(shù)發(fā)展���、軍事及國家安全�、以及商貿(mào)、金融等行業(yè)的發(fā)展起到了至關(guān)重要的作用�����。
密碼泄露案例
國外發(fā)生過多起嚴(yán)重的密碼泄露案件
1998年��,互聯(lián)網(wǎng)安全網(wǎng)站CERT發(fā)現(xiàn)黑客襲擊了18.6萬多個(gè)加密密碼�,其中,47642個(gè)密碼被盜���。
2009年���,社交網(wǎng)站Rock you.com發(fā)生嚴(yán)重密碼泄露�����,3200萬個(gè)密碼被盜�����,其密碼以明文形式在服務(wù)器上存儲(chǔ)�����。
2011年,索尼公司連續(xù)遭受四輪黑客襲擊��,致使過億用戶信息泄露�����,這些個(gè)人信息中包括用戶賬號(hào)密碼����、電子郵箱、家庭住址���、生日等信息����。索尼公司公開致歉�,美國聯(lián)邦調(diào)查局介入。此事成為近年來最大的網(wǎng)絡(luò)安全事件����。
2011年,第一個(gè)推行網(wǎng)絡(luò)實(shí)名制的國家韓國發(fā)生個(gè)人信息泄露事件����。韓國青瓦臺(tái)�����、外交通商部��、國家情報(bào)院等國家機(jī)構(gòu)等共40個(gè)網(wǎng)站遭到攻擊���,造成大量用戶信息外泄。去年年底��,韓國廣播通訊委員會(huì)提交報(bào)告�����,將逐步取消網(wǎng)絡(luò)實(shí)名制�。
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
