1701528899
1701528900
超级预测者的思维
1701528901
1701528902
理想的密码设置方案应该是,即便每个人都采用这一方案,它也能发挥作用。
1701528903
1701528904
用短语或句子的首字母来设置密码的有些缺陷是可以弥补的,比如,我们绝不使用“名人名言”,而改用私人玩笑。还记得在科苏梅尔岛(Cozumel),服务员对布伦达说过的那句搞笑的话吗?你记得,布伦达记得,服务员或许也记得,仅此而已。如果你挑选它作为你的密码短语,全球只有你使用这句话的概率是很高的。
1701528905
1701528906
我们不太确定密码本身是否独一无二。不同的短语可能都用了相同的首字母,因此产生相同的首字母缩写。而有些字母出现在单词第一个位置的可能性特别大,黑客软件恐怕也会利用这一点。
1701528907
1701528908
使用密码短语方案的最好办法就是,把传统的建议反过来用。我们不再需要想到一个短语就把它转换为密码,这并不那么随机,而要找一个真正随机的密码,把它转换成容易记忆的短语。
1701528909
1701528910
我以前用的就是愚蠢的简单密码。后来,我有个账户遭到了黑客攻击,网站为我分配了一个随机字符串作为临时密码。我本想把它改掉,但又猛然惊觉,我不需要这么做,我能够记住随机密码。
1701528911
1701528912
人的意识很善于从随机数据中看出模式。我们就是靠这种办法记忆电话号码和社会安全号码的,而这种办法也适用于记忆像RPM8t4ka这种我从random.org生成的随机字符式密码。虽然这种字符式密码是真正随机的,但人们在一瞬间就能看出模式,前3个字母恰好都是大写,最后3个则是小写,数字8是4的两倍。
1701528913
1701528914
你可以轻松地把随机密码转换成没有意义的短语。RPM8t4ka可以是“revolutions per minute,8 track for Kathy”。我不知道这条短语是什么意思,但我知道它很容易记住。
1701528915
1701528916
密码、密码短语、助记符号等,它们之间有什么区别?区别在于,随机字符式密码是安全的金律。它比任何人为选择的密码都更安全。哪怕世界上所有人都采用这一方案,它仍然很好用。
1701528917
1701528918
ROCKBREAKSSCISSORS
1701528919
1701528920
超级预测者的思维
1701528921
1701528922
随机字符式密码是安全的金律。它比任何人为选择的密码都更安全。
1701528923
1701528924
从实用的角度来说,凭借今天的技术,我们仍然无法猜测合理长度的随机字符密码。它不会出现在热门密码清单里,进行大规模攻击的黑客又只能用暴力搜索算法去猜测随机密码。加上大小写字母和数字,密码可用的字符共有62个。我并没有将标点符号算在内,因为不是所有网站都允许使用特殊符号。而这就意味着要猜中8个字符构成的密码,需要猜测628次,也就是说猜218万亿次以上。
1701528925
1701528926
随机字符式密码有效地排除了遭到互联网大规模攻击的可能性,也极大地拖延了针对性攻击的速度。就算一些取证软件每秒钟能猜28亿次,也需要大约22个小时才能猜够218万次。这对大多数人来说都足够安全了,但如果你仍然担心不够安全,不妨再多加些字符。
1701528927
1701528928
并不是说随机密码不可战胜。因为虽然猜不出来,但是可以偷得到。克林贡语名字的骗局就是一个例子,谨慎的人经常会落入这样的骗局。此外,高科技恶意软件能记录你的每一次敲击键盘动作,采用低技术含量进行窥探的一些人也能在你输入密码的时候站在你身后暗中记录你的密码。而即便用户并无过错,选择密码也足够小心,黑客们还可以利用网站松懈的内部安全获取密码。
1701528929
1701528930
我自己使用的是一个“强密码”哲学。有鉴于密码设置在我们生活里的重要性,记下一个随机字符密码是大有必要的。你记得住自己的手机号码,怎么会记不住一个密码呢?
1701528931
1701528932
安全顾问尼克·贝里(Nick Berry)说,有了这个强密码,那就要“拼死保护它”。尽你所能,不让电脑沾染恶意软件,只在可信赖的重要网站上使用这个密码。对于游戏网站和一些不重要的网站,我会用一个比较简单的密码,而且完全不像我的强密码。
1701528933
1701528934
偷窃密码的方式这么多,每个网站用不同密码的想法并非不合理。有一种办法是把网站名称的最后一个字母放到强密码的最首位。比如说,当设置你的Facebook密码时,你就把k放到强密码的前面,得到kRPM8t4ka。尽管这种做法在绝对意义上并不安全,但也足够管用了。窥探到你输入“kRPM8t4ka”登入Facebook账户的人找不到线索生成你的银行密码。采用大规模攻击技术的黑客会收集成千上万的密码,并从中找出一定比例不加修改就能应用到其他网站上的密码。他一般不会在乎那些不符合这一条件的密码。
1701528935
1701528936
我的强密码里并未使用标点符号或非ASCII字符。因为需要这种字符的网站极少,如果确实需要,我会选一个便于记忆的符号添加到末尾。
1701528937
1701528939
安全问题的不安全答案
1701528940
1701528941
有些身份窃贼彻底跳过输入密码环节。他们假装成忘记了密码的用户,来回答安全问题。如果猜对了,他们就能任意更改密码。这样一来,身份窃贼就不仅收获了一个可供出售的身份,还把合法用户锁在“门”外。
1701528942
1701528943
2008年,有人靠猜中萨拉·佩林(Sarah Palin)这位曾经的共和党副总统候选人跟丈夫初次相遇的地点瓦西拉高中(Wasilla High Schcol),登录了她的电子邮箱账户。4年后,有人又靠猜中了当时的美国总统大选共和党候选人米特·罗姆尼(Mitt Romney)心爱的宠物的名字,破解了他的账户。由猜对安全问题的答案而登录账户可不仅仅是公众人物要担心的事,凡是了解你的人都能猜到你许多安全问题的答案。而对你并不了解的黑客,也可以使用热门宠物名、二手车、球队绰号等名单。
1701528944
1701528945
最近,新闻报道里开始吹嘘使用无意义答案的反制策略。这个设想是,你用同一个蹩脚拉丁单词或者其他无意义答案来回答每一个问题。你母亲婚前的姓氏是Jimbob,你所上高中的吉祥物是Jimbob。
1701528946
1701528947
这一策略能够使用上一段时间,但如果采用的人数过多,情况大概就会发生变化。无意义的答案说不定会跟其他任何答案一样变得类型化起来。我自己总是诚实地回答安全问题。因为你不会经常碰到安全问题,如果在你最初回答安全问题的多年以后碰到必须证明自己是谁的情况,你绝对不希望忘了自己当时给出的答案。许多网站会让你自选安全问题,而我一般会挑选那些诚实的答案不常见、或者不容易猜到的问题。
1701528948
[
上一页 ]
[ :1.701528899e+09 ]
[
下一页 ]