所謂密碼重用就是在多個網站或賬戶上重復使用相同的密碼。當這樣的密碼被暴露,再加上姓名,登錄名,電子信箱地址等其它可識別信息,就會為用戶帶來信息安全上的危害。
密碼重用是如何成為威脅的?
密碼重用成為一種安全威脅是因為如果惡意行為者獲取了一些可以識別用戶身份的信息,他就可以對一個重復使用的密碼加以利用。這通常發生在以下情形之一:
在第一種最常見的情況下,惡意行為者搜索用戶的其它賬號,并試圖用同樣的密碼去登陸。有時,他們尋找一些個人賬號,比如Facebook,Twitter,或者銀行的網站。如果他們成功找到這些賬號,而用戶又使用了重復的密碼,他們就能夠以用戶的身份登陸。有時,惡意者還會嘗試識別用戶的工作賬號,并進行遠程登陸,例如通過遠程訪問電子郵件或考勤卡的賬號。
第二種涉及到惡意網站的情況比較少見,但仍然構成了威脅。在這種情況下,網絡上的惡意者建立一個網站,并使其極其類似合法網站,要求用戶輸入電子郵件地址,密碼或其它的信息來訪問網站。一旦用戶這樣做了,惡意這就獲取了用戶的身份信息,進而可以搜索用戶的其它賬戶,并使用相同密碼登陸這些帳戶。
避免密碼重用
避免密碼重用往往是具有挑戰性的,因為許多需要密碼保護的網站和帳戶,要求密碼具有復雜性,比如,要求用戶每過一段時間更新密碼。用戶則為了方便記憶,只好在多個賬戶中使用重復的密碼。有兩種方法既可以避免密碼重用,又能確保用戶的密碼滿足密碼復雜性的要求:
第一種方法是使用密碼管理器來記住每一個密碼。密碼管理器是可以使用于計算機,智能電話,或在云中的應用程序。它可以安全地跟蹤密碼,以及密碼被使用的地方。大多數密碼管理器還可以按用戶的需求為每個賬戶生成復雜的隨機密碼。只要訪問密碼管理器本身的密碼足夠安全,復雜,這種技術是很有效的。但是,如果密碼管理器應用程序受到攻擊(這是確實可能發生的!),所有被管理的密碼都可能被泄露。如果用戶選擇使用一個常駐在本地計算機或智能手機上的密碼管理器,一旦計算機被惡意軟件攻擊,或用戶丟失了智能手機,所有由密碼管理器管理的密碼都可能被暴露。所以,選擇密碼管理器時,要確保它來自一個知名的,值得信賴的公司,以避免受到損害。
第二種方法是為密碼選擇一個可重復的模式。比如,選擇一個關于網站或帳戶一些特性的句子,然后使用每個單詞的第一個字母作為密碼。例如,根據句子:“This is my March password for D1Net.”,密碼就成了“TimMp4D.”。一個強大的密碼應該是復雜的,需要包括大寫和小寫字母,數字和符號。上面例子中的這個密碼就保存了句子中的首字母大寫,把“for”翻譯為數字“4”,并包括了句尾的標點“.”來添加一個符號到密碼中。這項技術也有其弱點:如果來自同一個用戶的多個密碼被暴露,這個可重復的模式則可能被人猜出并被利用。
不論如何選擇密碼,保持密碼的獨一無二是極為重要的。有些公司,如Facebook,已經在開發相關技術來識別用戶的密碼重用。這其中包括監控被暴露的用戶名,電子郵件和密碼清單,并試圖用這些清單去匹配現有Facebook用戶的用戶名和電子郵件地址。一旦發現匹配,Facebook則會要求用戶重置密碼,以避免密碼重用的危害。
作者簡介:
在美國從事計算機領域的工作已近15年,現在全美最大的醫療保險公司做安全架構工作。如果想和作者交流,可以加作者的微信:k591600
如果您在企業IT、網絡、通信行業的某一領域工作,并想把自己的想法或觀點分享出來,歡迎給企業網D1Net投稿,投稿郵箱:[email protected]
京公網安備 11010502049343號