1701528838
1701528839
这怎么可能呢?很简单,用4个最常见的密码试试就行。一般而言,password,123456,12345678和qwerty这4个密码能打开1%的“藏宝洞”。
1701528840
1701528841
好吧,你属于那99%的人,不曾使用这么烂的密码。但你还是得考虑如今黑客软件的运行速度。就以免费黑客软件John the Ripper为例吧,它能在1秒钟里检测上百万个密码。而一套供法院使用的商业软件恢复程序(用在缴获的儿童色情品制作商和恐怖分子的计算机上)号称每秒可校验28亿个密码。
1701528842
1701528843
一开始,破解软件会穷举一份庞大的、频繁更新的、包含了数万个常用密码的清单。接着,它会展开详尽的字典查询,尝试字典中的每一个单词以及所有常见的专有名称、昵称和宠物名来校验密码。
1701528844
1701528845
ROCKBREAKSSCISSORS
1701528846
1701528847
超级预测者的思维
1701528848
1701528849
网站强制的重整规则反倒使用户挑选比较简单、更容易被猜中的基础密码,而重整只是营造出一种安全的错觉。
1701528850
1701528851
大多数人都受过技术专家们或者网站提示的恫吓,从而懂得给自己的密码增加数字、标点符号和大小写。用术语来说,这叫“重整”(mangling)。虽然从理论上讲,重整提高了猜测密码的难度,但在实践中并非如此。因为几乎所有人的意识都仍然遵循同一条老套的精神轨迹。如果网站坚持要你输入数字,那么password就会变成password1或者password123,这具有一种惊人的规律性。如果网站还要求你混合大小写,那就会变成Password或者PaSsWoRd。又如果网站强制你使用标点符号,则会变出password!和p@ssword。一些看似安全的密码,比如$pider_Man1,实际上也并不安全。因为每个人都会采用同样的方式进行这样的“迂回”。我们有理由担心,网站强制的重整规则反倒使用户挑选比较简单、更容易被猜中的基础密码,而重整只是营造出一种安全的错觉。
1701528852
1701528853
有关密码安全性的报道中总是会出现一位愤世嫉俗的专家,这位专家往往会鄙视所有常见或现有的密码设置策略。许多专业人士都赞同“写下来”的理念。“简单地说,能抵挡字典攻击的密码,人们是不可能记得住的,所以,选择一个复杂得记不住的密码再把它写下来,会更安全。”2005年(在数字世界,2005年相当于亿万年前的上古时代),美国信息安全专家布鲁斯·施奈尔(Bruce Schneier)说:“我们都擅长保管小纸片。我建议人们把自己的密码写在小纸片上,把它跟其他同样重要的小纸片放在一起,也就是说,放在钱包里。”
1701528854
1701528855
即便纸就放在手边,琢磨出一个又长又难记的密码也是一份苦差事。如果你输入密码时要会使用移动设备的虚拟键盘,那就更要祝你好运了。而如果你想要了解专家与现实之间的鸿沟,只需要看看我父亲是如何设置并记忆密码的就明白了。他用便签纸把密码写下来,贴在电脑显示器边上。这个密码没什么特别,只是两个单词构成的短语,没有数字,也没有怪异的符号。由此可见,人们不仅会选择不安全的密码,而且就连不安全的密码也难以记住。
1701528856
1701528857
在他们的数字生活中,许多用户会留下许许多多类似的密码。他们无视风险,每个网站都用相同的密码。但一些网站特别唠叨,对密码长度和类型设有强制性规则,就迫使用户对常用密码进行更改,结果,等到再次登录的时候,他们早就忘了自己是怎么改的了。
1701528858
1701528859
人们已知的许多有关愚蠢密码的知识都来自于2009年12月4日Facebook游戏发行商RockYou.com暴露的安全漏洞。黑客贴出了该网站的32 603 388个用户名和明文密码。该网站在这次事故发生的此前和此后也都发生过许多泄密事件,但这次事故的范围之大,让该网站不仅成了人们的密匙数据集,也成了身份窃贼窃取他人密码的参考数据集。
1701528860
1701528861
RockYou上最流行的密码是123456。据说,该网站上有290 731人使用这个密码。此外,根据年龄和性别的不同,密码设定也有些差异。30岁以下的男性爱用性和脏话作密码:pussy, fuck, fucking,696969,asshole, fucker, horny, hooters, bigdick, tits, boobs等等诸如此类的词汇在名单上都很靠前。年龄较大的男女则倾向于引用当前的流行词汇。Epsilon793本来不会是个热门密码,但它是科幻电视系列剧《星际迷航:下一代》(Star Trek:The Next Generation)里舰长皮卡德所用的密码。七位数8675309也是个高深莫测的常见选择,它是很久以前一首流行歌曲里引用的电话号码。由此可见,“婴儿潮”[15]一代喜欢在密码里追忆过去。
1701528862
1701528864
设置强密码
1701528865
1701528866
事实上,创造一个安全的密码是世界上最简单的事情,使用随机字符串即可。尽管你无法在智力上实现完美的随机性,但形形色色的网站和小程序会帮你生成各式各样的随机密码。下面是我从random.org上找来的例子:
1701528867
1701528868
mvAWzbvf
1701528869
1701528870
83cpzBgA
1701528871
1701528872
tn6kDB4T
1701528873
1701528874
2T9UPPd4
1701528875
1701528876
BLJbsf6r
1701528877
1701528878
设置密码的问题解决了吗?当然,对那些热爱记忆术的偏执狂,或者使用密码管理软件外加指纹读取器的人来说,问题的确解决了。但对于其他大多数人来说,一想到自己的头脑装下这样一大锅字符汤,他们难免会缩手缩脚。每个账户都使用不同密码的告诫对他们则更加没有帮助。
1701528879
1701528880
较之专家,大多数用户更关心便利性,不怎么关心安全性。我不敢说大众一定是错的。你会在家修避难室吗?即便修了避难室的人告诉你必须得有一间,你大概也不会修吧。在你忙着修建避难室之前,先确定自己锁好了大门或许更重要。
1701528881
1701528882
现实的密码威胁分为三类,分别是随意攻击、大规模攻击和针对性攻击。
1701528883
1701528884
随意攻击来自你认识的人。爱好打探的同事或家人可能想登入你的账户。他会根据对你的个人了解来猜测密码,而无须借助密码破解软件。随意窥探的人或许知道你高中所属的球队叫“Wildcats”(野猫),并试用这个密码来进行破解。可如果你的密码设置为“wildCatz1”,他就会彻底败下阵来。
1701528885
1701528886
大规模攻击就像是垃圾软件,它无关个人。职业身份窃贼不是为了登录你的账户,他对你本人一无所知。他只是想整理一份破解过的密码清单,而这份清单通常用于转手变卖。密码窃贼会使用软件,并从安全性最低、允许多次猜测的网站开始破解,例如游戏网站。尽管这类网站的密码没有任何经济价值,但如果软件猜测正确,它会尝试用相同的密码登录银行等安全度更高的账户。
1701528887
[
上一页 ]
[ :1.701528838e+09 ]
[
下一页 ]