近日,有報道稱俄羅斯黑客通過互聯(lián)網(wǎng)竊取了全球12億用戶的個人信息,盡管報道中未指出是哪一個網(wǎng)站的用戶信息被竊,考慮到失竊用戶信息數(shù)量如此巨大,將對廣大普通消費者的網(wǎng)絡賬戶帶來嚴重的安全隱患,業(yè)內各界對此表示擔憂。
據(jù)電腦安全防護業(yè)內人士表示,大部分用戶的個人信息通常都是以未加密的純文本形式儲存在網(wǎng)站的服務器中。在這些被盜信息中,就包含有大量用戶密碼,無論是那些如“password”這般簡單的由純字母組成的密碼,還是由亂七八糟的數(shù)字和符號組成的復雜得令人難以置信的密碼。這些密碼的失竊將會使它們的用戶在黑客的攻擊面前毫無還手之力。
鑒于此,無論用戶的密碼多么復雜都無法繼續(xù)保證信息的安全。根據(jù)上述內容我們可以知道,密碼保護系統(tǒng)的主體來自于用戶自己所設計的符號組合。不論你將如何雜亂的數(shù)字、字母、符號拼湊在一起(最好中間再加幾個大寫字母),或者每90天更新一次密碼,但這都不能保證你所做的努力要比一串簡單的密碼要來得安全。
在某些情況下,一組復雜的密碼確實能對你起到幫助。但另一方面,當有公司掌握著你的這串未經(jīng)加密過的純文本形式的密碼時,它的復雜性就顯得毫無意義。更不用說那些看起來雖很復雜,但實際上卻很容易被猜出來的密碼組合。一旦有黑客闖入儲存有這些密碼的電腦,即使它們是經(jīng)過加密的也存在嚴重的安全隱患。
經(jīng)過此次黑客竊密事件后,那些負責密碼設置規(guī)則的系統(tǒng)管理員應該明白,他們需要在加密防護流程中承擔起更多的責任。他們需要研究出更安全的密碼設置方法,以及儲存密碼的方法。
從事密碼防護工作多年的微軟研究員柯麥科·赫利(Cormac Herley)對此表示,“幾乎每一個系統(tǒng)管理員對密碼防護技術都感到困惑,雖然他們負責制定密碼的設置規(guī)則,但至于為何要這樣做,大家都是一知半解。”事實上,他們應該多花時間去研究其他的系統(tǒng)安全防護方式。
赫利對此表示,“現(xiàn)在市面上的密碼破解軟件早在十多年前就已經(jīng)掌握了破解密碼的竅門。隨著密碼技術的發(fā)展,人們需要的是更隨機的,或需要經(jīng)過100兆次的運算猜測才能破解的密碼組合,而不是那些可被預測的,或不需太多運算就能破解的密碼組合形式。”
經(jīng)常使用密碼安全強度檢測工具的你就會發(fā)現(xiàn),密碼的位數(shù)越多往往意味著密碼強度越高。事實上,密碼的長度并不是決定因素,赫利表示,隨機性才是決定密碼強度的關鍵。但其中一個致命的問題在于,人類往往不擅長創(chuàng)造出隨機的密碼。因此,我們或許該更多地關注于如何用雙重認證模式來更好地保護賬戶安全,如在使用密碼的同時需要附帶輸入指紋、文字或類似“U盾”那樣的隨機數(shù)字生成工具。
對于系統(tǒng)管理員來說,如果他們在俄羅斯黑客竊密前能花更多的時間研究如何儲存好用戶的密碼,如加密網(wǎng)頁,通過密碼學對用戶密碼進行二次加密而不是僅僅通過純文本形式儲存,事情的結果就不會這么糟糕。為微軟研究密碼防護的計算機科學教授保羅·馮·奧爾斯霍特(Paul van Oorschot)表示,“相比起讓終端用戶為密碼的設置費心思,為什么我們不在系統(tǒng)層面上付出更多的努力以防止密碼數(shù)據(jù)庫的泄露?”
包括亞馬遜在內的部分企業(yè)如今似乎已明白了這個道理,它們允許最低設置6位數(shù)的密碼,對數(shù)字或特別字符也沒有任何要求。而蘋果公司則相反,依然要求用戶接受密碼設置的“酷刑考驗”:大寫字母、數(shù)字、小寫字母。
業(yè)內專家認為,除了一些如在線注冊閱讀等形式性的加密賬戶可以使用像“passowrd”這樣的簡易密碼外,我們常用的電子郵箱密碼還是越復雜越好。不僅要讓別人難以猜測,最好當你在不同的設備上登陸郵箱的時候,還需要另行輸入一串由網(wǎng)站發(fā)到你個人手機上的隨機驗證碼。
不管怎樣,你只要去問問那些在此次黑客竊密事件中遭受損失的網(wǎng)站就可以知道,僅僅指望復雜的密碼來保護用戶信息的安全是不切實際的。這正如赫利所言,“當12億用戶信息被人從幾乎不設防的服務器上竊走的時候,為何我們還要迫使網(wǎng)絡用戶費盡心思去選擇更為安全的密碼,以抵擋那些越來越高深莫測的測算攻擊?這簡直是浪費時間。”
京公網(wǎng)安備 11010502049343號