1701528888
针对性攻击指的是私人侦探或国家的情报部门人员借助软件来进行调查。如果有个知情人想侵入你的账户,这个人有时间有金钱(说不定还有法律撑腰),那他是很可能得手的。唯一的反制措施是使用足够长的随机密码,让穷举搜索的时间比你的预期寿命还要长。
1701528889
1701528890
别太轻率地以为你不可能成为别人的攻击目标。一家小型企业或许想要偷窃一台笔记本电脑以了解其他企业情况。离婚案里身价高的一方也有可能会成为攻击目标。黑客可能会讨厌某人的业务或政策。Twitter的整个网站曾一度受到影响,就因为管理员不明智地选择了“happiness”(幸福)作为密码。2009年,一名黑客在字典攻击里知道了Twitter的密码,把它贴到了“数码大佬”(Digital Gangster)网站上,导致美国总统奥巴马、著名歌手布兰妮、Facebook和福克斯新闻的Twitter账号被黑。
1701528891
1701528892
就像生活里的其他所有事一样,密码涉及权衡,你不可能同时拥有最大的安全度和最大的易用性。在我们最常听到的设置密码的建议中最好的一条是,把短语或句子转换成密码。你选择一个句子、一条短语或一段歌词,用每个单词的首字母组成密码。电影《星球大战》里的台词“May the force be with you”就变成了Mtfbwy。
1701528893
1701528894
你可能不想用这个方法,这才是问题所在。尽管你会从电影、大学的校歌,或者动画片《南方公园》(South Park)里选一句著名的台词,但这样的8个单词式短语你知道多少个?随机选择的词组是不是比随机选择的单词更难猜,其实谁也说不清楚。再加上,人们对构成密码的短语首字母缩写很少刻意重整。因为它看起来是那么的随机!
1701528895
1701528896
理想的密码设置方案应该是,即便每个人都采用这一方案,它也能发挥作用。假如用短语作密码的方案流行开来,所有热门短语的首字母缩写就会立刻进入热门密码榜单,破解软件也会首先尝试这类密码。通常情况下,由于首字母缩写里只有字母。因此,这类密码会比同样长度的任意字符串安全度要低。
1701528897
1701528898
ROCKBREAKSSCISSORS
1701528899
1701528900
超级预测者的思维
1701528901
1701528902
理想的密码设置方案应该是,即便每个人都采用这一方案,它也能发挥作用。
1701528903
1701528904
用短语或句子的首字母来设置密码的有些缺陷是可以弥补的,比如,我们绝不使用“名人名言”,而改用私人玩笑。还记得在科苏梅尔岛(Cozumel),服务员对布伦达说过的那句搞笑的话吗?你记得,布伦达记得,服务员或许也记得,仅此而已。如果你挑选它作为你的密码短语,全球只有你使用这句话的概率是很高的。
1701528905
1701528906
我们不太确定密码本身是否独一无二。不同的短语可能都用了相同的首字母,因此产生相同的首字母缩写。而有些字母出现在单词第一个位置的可能性特别大,黑客软件恐怕也会利用这一点。
1701528907
1701528908
使用密码短语方案的最好办法就是,把传统的建议反过来用。我们不再需要想到一个短语就把它转换为密码,这并不那么随机,而要找一个真正随机的密码,把它转换成容易记忆的短语。
1701528909
1701528910
我以前用的就是愚蠢的简单密码。后来,我有个账户遭到了黑客攻击,网站为我分配了一个随机字符串作为临时密码。我本想把它改掉,但又猛然惊觉,我不需要这么做,我能够记住随机密码。
1701528911
1701528912
人的意识很善于从随机数据中看出模式。我们就是靠这种办法记忆电话号码和社会安全号码的,而这种办法也适用于记忆像RPM8t4ka这种我从random.org生成的随机字符式密码。虽然这种字符式密码是真正随机的,但人们在一瞬间就能看出模式,前3个字母恰好都是大写,最后3个则是小写,数字8是4的两倍。
1701528913
1701528914
你可以轻松地把随机密码转换成没有意义的短语。RPM8t4ka可以是“revolutions per minute,8 track for Kathy”。我不知道这条短语是什么意思,但我知道它很容易记住。
1701528915
1701528916
密码、密码短语、助记符号等,它们之间有什么区别?区别在于,随机字符式密码是安全的金律。它比任何人为选择的密码都更安全。哪怕世界上所有人都采用这一方案,它仍然很好用。
1701528917
1701528918
ROCKBREAKSSCISSORS
1701528919
1701528920
超级预测者的思维
1701528921
1701528922
随机字符式密码是安全的金律。它比任何人为选择的密码都更安全。
1701528923
1701528924
从实用的角度来说,凭借今天的技术,我们仍然无法猜测合理长度的随机字符密码。它不会出现在热门密码清单里,进行大规模攻击的黑客又只能用暴力搜索算法去猜测随机密码。加上大小写字母和数字,密码可用的字符共有62个。我并没有将标点符号算在内,因为不是所有网站都允许使用特殊符号。而这就意味着要猜中8个字符构成的密码,需要猜测628次,也就是说猜218万亿次以上。
1701528925
1701528926
随机字符式密码有效地排除了遭到互联网大规模攻击的可能性,也极大地拖延了针对性攻击的速度。就算一些取证软件每秒钟能猜28亿次,也需要大约22个小时才能猜够218万次。这对大多数人来说都足够安全了,但如果你仍然担心不够安全,不妨再多加些字符。
1701528927
1701528928
并不是说随机密码不可战胜。因为虽然猜不出来,但是可以偷得到。克林贡语名字的骗局就是一个例子,谨慎的人经常会落入这样的骗局。此外,高科技恶意软件能记录你的每一次敲击键盘动作,采用低技术含量进行窥探的一些人也能在你输入密码的时候站在你身后暗中记录你的密码。而即便用户并无过错,选择密码也足够小心,黑客们还可以利用网站松懈的内部安全获取密码。
1701528929
1701528930
我自己使用的是一个“强密码”哲学。有鉴于密码设置在我们生活里的重要性,记下一个随机字符密码是大有必要的。你记得住自己的手机号码,怎么会记不住一个密码呢?
1701528931
1701528932
安全顾问尼克·贝里(Nick Berry)说,有了这个强密码,那就要“拼死保护它”。尽你所能,不让电脑沾染恶意软件,只在可信赖的重要网站上使用这个密码。对于游戏网站和一些不重要的网站,我会用一个比较简单的密码,而且完全不像我的强密码。
1701528933
1701528934
偷窃密码的方式这么多,每个网站用不同密码的想法并非不合理。有一种办法是把网站名称的最后一个字母放到强密码的最首位。比如说,当设置你的Facebook密码时,你就把k放到强密码的前面,得到kRPM8t4ka。尽管这种做法在绝对意义上并不安全,但也足够管用了。窥探到你输入“kRPM8t4ka”登入Facebook账户的人找不到线索生成你的银行密码。采用大规模攻击技术的黑客会收集成千上万的密码,并从中找出一定比例不加修改就能应用到其他网站上的密码。他一般不会在乎那些不符合这一条件的密码。
1701528935
1701528936
我的强密码里并未使用标点符号或非ASCII字符。因为需要这种字符的网站极少,如果确实需要,我会选一个便于记忆的符号添加到末尾。
1701528937
[
上一页 ]
[ :1.701528888e+09 ]
[
下一页 ]