现在有越来越多的证据表明,人们偏爱使用很短的、非随机性的、因而不
安全的
密码--这些证据包括LulzSec所钻的众多漏洞、Gawker去年被黑事件,甚至整整10年来研究Unix用户选择
密码的习惯的调查。他们还往往在多个网站上重复使用同一批
密码。其背后的道理很明显:这样一来,
密码用起来比较省事。
遗憾的是,这也导致了
安全性很差。比如说,只要看一下LulzSec针对隶属联邦调查局(FBI)的InfraGard的亚特兰大分支机构发起的其中一次攻击,黑客们窃取了成员们的用户名和
密码组合。然后,那些登录资料让LulzSec得以闯入亚特兰大InfraGard会员Karim Hijazi的办公和个人Gmail帐户。Hijazi是个颇有争议的
安全顾问,他是监控僵尸网络的新兴公司Unveillance的首席执行官兼总裁。但是连他也重复使用
密码。
然而,
密码重复使用还是唯一的问题。另一个威胁是,攻击者会获得对网站
密码数据库的访问权,因而窃取一份副本。这时候,就算数据库已
加密,攻击者照样可以在线下向数据库频频发起攻击,使用像AccessData公司的Password Recovery Toolkit这样的工具,在比较短的时间内将
密码破解出来。处理能力不成问题。的确,乔治亚理工学院的研究人员利用个人电脑内置的图形卡,就能够立即破解甚至长度在12个字符以下的散列
密码。
乔治亚理工学院的研究人员建议
密码的长度至少应该是12个字符;而且字母、数字和符号混合使用,这并非巧合。但是谁又记得住为自己使用的每一个比较重要的网站设置的独特的、随机性(即高度无序)的12个字符长
密码?
幸好,现在不乏创建很长强
密码的方法。比如说,人们可以使用口令短语(pass phrase)--这些其实是句子,而不是使用
密码。与此同时,另一个办法是使用某种预定逻辑来创建
密码。比如说,
密码“mniE”是“my name is Earl”(我的名字叫Earl)的简称--当然在理想情况下,
密码要长得多。这种方法的支持者常常建议使用包含网站名称的稍加变化的
密码,那样对某个
密码稍加改动,就可以用于不同的其他网站。比如说,就亚马逊网站(Amazon.com)而言,稍加变化的
密码可能是“mAMAniE”。
据微软前任
安全项目经理、现在是亚马逊网站的首席
安全架构师Jesper M. Johansson声称,尽管有可能增强
安全性,但是否有许多人不厌其烦地使用口令短语还是个未知数。此外,根据一些粗略的估计,他表示人们可能需要使用六个单字长的口令短语--很快开始变得很笨拙,才能获得与9个字符长的
密码同样级别的熵(entropy)。最后,在不同网站上重复使用
密码的一部分意味着,攻击者只要窃取了用户名和
密码组合,就能够通过逆向工程来破解逻辑。
因而,要加强
密码安全,最简单、最省事的方法还是干脆把
密码记下来,不过最好采用高度
安全的方式。漏洞信息提供商Secunia的首席
安全官Thomas Kristensen在接受采访时说:“你能做的最明智投入就是去外面买一只数字钱包,把
密码装在里面。在不同的网站上重复使用
密码根本就是最糟糕的做法。看一下今年所有的网站泄密事件,就会发现存在帐户资料丢失的风险;一旦你的
密码公之于众,并与你的电子邮件地址联系在一起,你可能直到有人窃取了东西,才知道
密码被人窃取。”
数字
密码钱包的另一个优点在于,软件不但让人们很容易保存
密码,还很容易创建一个高度随机的强
密码。这样一来,为访问的每一个网站维护一个不同的
密码就轻而易举。相应地,下一次黑客破解了索尼
密码数据库,即使数据库里面含有你的用户名和
密码,黑客也无法在其他任何地方来破解这对组合。
然而,数字
密码钱包的确意味着要下载、安装和使用另一个软件。Kristensen说:“我知道,这有点讨厌”;10年来,他一直在使用名为KeePass的开源应用软件。不过他表示,使用数字钱包完全是一个最佳做法。“它不是完美的解决方案,但是比重复使用
密码要
安全得多。”
说到
安全地存储
密码的
密码管理软件,现在有众多选择。比如说,英国电信集团(BT)的首席
安全技术官 Bruce Schneier创建了PasswordSafe,这个易于使用的开源
密码数据库面向Windows。这类软件还有苹果OS X版本(比如共享软件PasswordWallet也可用于Windows环境)。另一个选择是如上所述的KeePass,它不仅可以在这两款操作系统上运行,还能在Linux上运行。
此外,许多
密码钱包会在你的电脑与移动设备之间同步
密码,这意味着你总是随身携带着一份
安全的、受
密码保护的
密码和个人身份识别号(PIN)代码。
总结一下,不妨为每一个重要的网站创建一个独特的、随机的、很长的强
密码,以确保
密码安全性。然后,把这些
密码存放到数字保险箱,确保妥善保存了
密码。这么做的话,就不用害怕下一个LulzSec了。
第四十一届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kaifangli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
