如果上传的密码过于简单,也很容易被黑客用“暴力攻击”的形式获得,最常用的是“词典式攻击”。黑客手中会有一个海量密码的词典,如果用户使用简单的信息,如姓名、生日、电话等,黑客可以设计一个小程序,计算出来。因此,很多网站在登录密码页面会使用验证码,防止电脑的词典式攻击。
服务器保存
明文保存密码相当危险
密码到达终点,即网站服务器,它的保存方式也被黑客盯上。此次密码泄露,就是因为很多网站以明文形式保存用户的密码,而没有任何加密,当黑客攻击进入服务器后,就可以直接看到裸露的密码原文。
果壳网“死理性派”主编吴苏介绍,明文保存密码相当危险,黑客只要获得了密码数据库,再复杂的密码,都可以看到。
他介绍,现在网站服务器已经有了很普遍的加密方法,叫做哈希函数。比如,英文里“狐狸在冰上跑”和“狐狸在冰上走”两句话,通过哈希函数一转化,很快变成了完全让人摸不着头脑的组合“52ED879E”和“46042841”。
但即使用了哈希函数加密,也不代表无懈可击。
密码分析学家阮风光说,如果一串被哈希过的密码被盗,只要密码过于简单,黑客同样可以获得。
通常,黑客手中,都有一份很长的列表,称为“碰撞库”,里面储存的是很多常用密码对应的哈希值。朱璇介绍,现在网上有专门的网站对哈希值进行破解,根据密码难度进行收费。“比如要破解admin123,属于最常用的前1万个密码,你只要花1毛钱,如果密码是123456,就可以给你免费破。”“万恶之源是密码过于简单。”朱璇说。
密码矛盾
安全和便利不可兼得
“互联网安全问题分成管理层面和技术层面,密码安全横跨两个层面。”朱璇说。
对于网站而言需要考虑的安全因素太多了。比如,开发代码中是否存在漏洞,服务器所处的地理位置是否足够安全,服务器是否有密码,操作系统是否打了补丁,等等,任何一个环节出了漏洞,其他环节再安全,也可能被黑客攻进。
“一切都是需要花钱的,”阮风光说,“比如你要在服务器中对密码进行加密,就可能需要雇用有安全背景的人来写软件。”
目前,科学家和工程师们也在尽量让身份识别变得更为容易,如生物指纹、或视网膜鉴别等等方式,但即使这些额外的保护措施,同样需要花钱。“人们得意识到,更高的安全度,就意味着更多的钱。”阮风光说。
他表示,计算机科学技术发展到今天,人们也一直没解决密码安全性和便利性的矛盾,始终没有完美的解决方式。原则上,密码越长,越安全,可是也越难记住,哪怕记在电脑或者纸上也是不安全的。此外,用户如果在不同网站使用不同的密码,也更安全,但是却很不方便,很难记住这么多的密码。“要安全,就得舍弃方便,要舍弃麻烦而图便利,就可能不安全。”本报记者 金煜
■ 密码防盗指南
1 有足够的安全意识,避免在社会层面受到密码诈骗。
2 不同安全等级的网站设不同强度的密码。对于网银等和个人利益直接相关的网站,一定要设置超强的密码。
3 测试网站的密码安全性,在注册一个网站时,如果你输入密码“123456”也能通过,这个网站肯定不安全。同样,对密码长度没有要求,不能使用特殊字符,或者无法区分大小写的网站的安全性能也不高。
4 减少使用常用的个人信息,尽量不用自己的生日作为密码。尽量使用和自己个人信息不相关,或者距离远的信息。
5 利用经典密码学,设置自己的加密“函数”或规律。比如,你可以选取“不管三七二十一”,抽出其中的数字“3721”,对个别数字进行替换或移位,把“7”变成英文字母中的“L”,把“1”变成英文字母“i”,变成“3L2i”,这样,密码就稍微复杂一点。
6 多组合密码。搭配各类数字、字母、大小写、特殊符号的组合,比如一个10位长的随机密码,由于常用键一共有95个,因此一共会有(95的10次方)种组合,较难在短时间内被“暴力”破解。你可以把“3L2i”加上符号变成“3#L*2 i#”。
(责任编辑:鑫报)