1701528880
较之专家,大多数用户更关心便利性,不怎么关心安全性。我不敢说大众一定是错的。你会在家修避难室吗?即便修了避难室的人告诉你必须得有一间,你大概也不会修吧。在你忙着修建避难室之前,先确定自己锁好了大门或许更重要。
1701528881
1701528882
现实的密码威胁分为三类,分别是随意攻击、大规模攻击和针对性攻击。
1701528883
1701528884
随意攻击来自你认识的人。爱好打探的同事或家人可能想登入你的账户。他会根据对你的个人了解来猜测密码,而无须借助密码破解软件。随意窥探的人或许知道你高中所属的球队叫“Wildcats”(野猫),并试用这个密码来进行破解。可如果你的密码设置为“wildCatz1”,他就会彻底败下阵来。
1701528885
1701528886
大规模攻击就像是垃圾软件,它无关个人。职业身份窃贼不是为了登录你的账户,他对你本人一无所知。他只是想整理一份破解过的密码清单,而这份清单通常用于转手变卖。密码窃贼会使用软件,并从安全性最低、允许多次猜测的网站开始破解,例如游戏网站。尽管这类网站的密码没有任何经济价值,但如果软件猜测正确,它会尝试用相同的密码登录银行等安全度更高的账户。
1701528887
1701528888
针对性攻击指的是私人侦探或国家的情报部门人员借助软件来进行调查。如果有个知情人想侵入你的账户,这个人有时间有金钱(说不定还有法律撑腰),那他是很可能得手的。唯一的反制措施是使用足够长的随机密码,让穷举搜索的时间比你的预期寿命还要长。
1701528889
1701528890
别太轻率地以为你不可能成为别人的攻击目标。一家小型企业或许想要偷窃一台笔记本电脑以了解其他企业情况。离婚案里身价高的一方也有可能会成为攻击目标。黑客可能会讨厌某人的业务或政策。Twitter的整个网站曾一度受到影响,就因为管理员不明智地选择了“happiness”(幸福)作为密码。2009年,一名黑客在字典攻击里知道了Twitter的密码,把它贴到了“数码大佬”(Digital Gangster)网站上,导致美国总统奥巴马、著名歌手布兰妮、Facebook和福克斯新闻的Twitter账号被黑。
1701528891
1701528892
就像生活里的其他所有事一样,密码涉及权衡,你不可能同时拥有最大的安全度和最大的易用性。在我们最常听到的设置密码的建议中最好的一条是,把短语或句子转换成密码。你选择一个句子、一条短语或一段歌词,用每个单词的首字母组成密码。电影《星球大战》里的台词“May the force be with you”就变成了Mtfbwy。
1701528893
1701528894
你可能不想用这个方法,这才是问题所在。尽管你会从电影、大学的校歌,或者动画片《南方公园》(South Park)里选一句著名的台词,但这样的8个单词式短语你知道多少个?随机选择的词组是不是比随机选择的单词更难猜,其实谁也说不清楚。再加上,人们对构成密码的短语首字母缩写很少刻意重整。因为它看起来是那么的随机!
1701528895
1701528896
理想的密码设置方案应该是,即便每个人都采用这一方案,它也能发挥作用。假如用短语作密码的方案流行开来,所有热门短语的首字母缩写就会立刻进入热门密码榜单,破解软件也会首先尝试这类密码。通常情况下,由于首字母缩写里只有字母。因此,这类密码会比同样长度的任意字符串安全度要低。
1701528897
1701528898
ROCKBREAKSSCISSORS
1701528899
1701528900
超级预测者的思维
1701528901
1701528902
理想的密码设置方案应该是,即便每个人都采用这一方案,它也能发挥作用。
1701528903
1701528904
用短语或句子的首字母来设置密码的有些缺陷是可以弥补的,比如,我们绝不使用“名人名言”,而改用私人玩笑。还记得在科苏梅尔岛(Cozumel),服务员对布伦达说过的那句搞笑的话吗?你记得,布伦达记得,服务员或许也记得,仅此而已。如果你挑选它作为你的密码短语,全球只有你使用这句话的概率是很高的。
1701528905
1701528906
我们不太确定密码本身是否独一无二。不同的短语可能都用了相同的首字母,因此产生相同的首字母缩写。而有些字母出现在单词第一个位置的可能性特别大,黑客软件恐怕也会利用这一点。
1701528907
1701528908
使用密码短语方案的最好办法就是,把传统的建议反过来用。我们不再需要想到一个短语就把它转换为密码,这并不那么随机,而要找一个真正随机的密码,把它转换成容易记忆的短语。
1701528909
1701528910
我以前用的就是愚蠢的简单密码。后来,我有个账户遭到了黑客攻击,网站为我分配了一个随机字符串作为临时密码。我本想把它改掉,但又猛然惊觉,我不需要这么做,我能够记住随机密码。
1701528911
1701528912
人的意识很善于从随机数据中看出模式。我们就是靠这种办法记忆电话号码和社会安全号码的,而这种办法也适用于记忆像RPM8t4ka这种我从random.org生成的随机字符式密码。虽然这种字符式密码是真正随机的,但人们在一瞬间就能看出模式,前3个字母恰好都是大写,最后3个则是小写,数字8是4的两倍。
1701528913
1701528914
你可以轻松地把随机密码转换成没有意义的短语。RPM8t4ka可以是“revolutions per minute,8 track for Kathy”。我不知道这条短语是什么意思,但我知道它很容易记住。
1701528915
1701528916
密码、密码短语、助记符号等,它们之间有什么区别?区别在于,随机字符式密码是安全的金律。它比任何人为选择的密码都更安全。哪怕世界上所有人都采用这一方案,它仍然很好用。
1701528917
1701528918
ROCKBREAKSSCISSORS
1701528919
1701528920
超级预测者的思维
1701528921
1701528922
随机字符式密码是安全的金律。它比任何人为选择的密码都更安全。
1701528923
1701528924
从实用的角度来说,凭借今天的技术,我们仍然无法猜测合理长度的随机字符密码。它不会出现在热门密码清单里,进行大规模攻击的黑客又只能用暴力搜索算法去猜测随机密码。加上大小写字母和数字,密码可用的字符共有62个。我并没有将标点符号算在内,因为不是所有网站都允许使用特殊符号。而这就意味着要猜中8个字符构成的密码,需要猜测628次,也就是说猜218万亿次以上。
1701528925
1701528926
随机字符式密码有效地排除了遭到互联网大规模攻击的可能性,也极大地拖延了针对性攻击的速度。就算一些取证软件每秒钟能猜28亿次,也需要大约22个小时才能猜够218万次。这对大多数人来说都足够安全了,但如果你仍然担心不够安全,不妨再多加些字符。
1701528927
1701528928
并不是说随机密码不可战胜。因为虽然猜不出来,但是可以偷得到。克林贡语名字的骗局就是一个例子,谨慎的人经常会落入这样的骗局。此外,高科技恶意软件能记录你的每一次敲击键盘动作,采用低技术含量进行窥探的一些人也能在你输入密码的时候站在你身后暗中记录你的密码。而即便用户并无过错,选择密码也足够小心,黑客们还可以利用网站松懈的内部安全获取密码。
1701528929
[
上一页 ]
[ :1.70152888e+09 ]
[
下一页 ]