1701528831
08 营造的安全错觉
1701528832
1701528833
你是否曾在一些垃圾网站上浪费过时间呢?比如说,能够揭示你的克林贡语[14]名字、精灵名字、少数族裔名字等等的网站。这类网站有些是采集密码行业的前沿阵地。它们要求你提供一些个人资料,并提示你设置密码。骗子们知道,你设置的密码很可能与你在其他地方使用的密码相同或类似。他们说不定还会在黑市上以每个20美元的价格出售收集到的密码。
1701528834
1701528835
密码就像是你家的钥匙。有些锁松松垮垮,有些锁很牢靠,可要是扒手掏走了你的钥匙,所有的锁都会显得形同虚设。安全始终是最薄弱的环节。
1701528836
1701528837
大多数身份窃贼连这种挂羊头卖狗肉的网站也懒得弄,他们往往选择最方便的手法——对最容易猜到的密码下手。最近的一项研究发现,将近1%的密码尝试4次就能猜中。
1701528838
1701528839
这怎么可能呢?很简单,用4个最常见的密码试试就行。一般而言,password,123456,12345678和qwerty这4个密码能打开1%的“藏宝洞”。
1701528840
1701528841
好吧,你属于那99%的人,不曾使用这么烂的密码。但你还是得考虑如今黑客软件的运行速度。就以免费黑客软件John the Ripper为例吧,它能在1秒钟里检测上百万个密码。而一套供法院使用的商业软件恢复程序(用在缴获的儿童色情品制作商和恐怖分子的计算机上)号称每秒可校验28亿个密码。
1701528842
1701528843
一开始,破解软件会穷举一份庞大的、频繁更新的、包含了数万个常用密码的清单。接着,它会展开详尽的字典查询,尝试字典中的每一个单词以及所有常见的专有名称、昵称和宠物名来校验密码。
1701528844
1701528845
ROCKBREAKSSCISSORS
1701528846
1701528847
超级预测者的思维
1701528848
1701528849
网站强制的重整规则反倒使用户挑选比较简单、更容易被猜中的基础密码,而重整只是营造出一种安全的错觉。
1701528850
1701528851
大多数人都受过技术专家们或者网站提示的恫吓,从而懂得给自己的密码增加数字、标点符号和大小写。用术语来说,这叫“重整”(mangling)。虽然从理论上讲,重整提高了猜测密码的难度,但在实践中并非如此。因为几乎所有人的意识都仍然遵循同一条老套的精神轨迹。如果网站坚持要你输入数字,那么password就会变成password1或者password123,这具有一种惊人的规律性。如果网站还要求你混合大小写,那就会变成Password或者PaSsWoRd。又如果网站强制你使用标点符号,则会变出password!和p@ssword。一些看似安全的密码,比如$pider_Man1,实际上也并不安全。因为每个人都会采用同样的方式进行这样的“迂回”。我们有理由担心,网站强制的重整规则反倒使用户挑选比较简单、更容易被猜中的基础密码,而重整只是营造出一种安全的错觉。
1701528852
1701528853
有关密码安全性的报道中总是会出现一位愤世嫉俗的专家,这位专家往往会鄙视所有常见或现有的密码设置策略。许多专业人士都赞同“写下来”的理念。“简单地说,能抵挡字典攻击的密码,人们是不可能记得住的,所以,选择一个复杂得记不住的密码再把它写下来,会更安全。”2005年(在数字世界,2005年相当于亿万年前的上古时代),美国信息安全专家布鲁斯·施奈尔(Bruce Schneier)说:“我们都擅长保管小纸片。我建议人们把自己的密码写在小纸片上,把它跟其他同样重要的小纸片放在一起,也就是说,放在钱包里。”
1701528854
1701528855
即便纸就放在手边,琢磨出一个又长又难记的密码也是一份苦差事。如果你输入密码时要会使用移动设备的虚拟键盘,那就更要祝你好运了。而如果你想要了解专家与现实之间的鸿沟,只需要看看我父亲是如何设置并记忆密码的就明白了。他用便签纸把密码写下来,贴在电脑显示器边上。这个密码没什么特别,只是两个单词构成的短语,没有数字,也没有怪异的符号。由此可见,人们不仅会选择不安全的密码,而且就连不安全的密码也难以记住。
1701528856
1701528857
在他们的数字生活中,许多用户会留下许许多多类似的密码。他们无视风险,每个网站都用相同的密码。但一些网站特别唠叨,对密码长度和类型设有强制性规则,就迫使用户对常用密码进行更改,结果,等到再次登录的时候,他们早就忘了自己是怎么改的了。
1701528858
1701528859
人们已知的许多有关愚蠢密码的知识都来自于2009年12月4日Facebook游戏发行商RockYou.com暴露的安全漏洞。黑客贴出了该网站的32 603 388个用户名和明文密码。该网站在这次事故发生的此前和此后也都发生过许多泄密事件,但这次事故的范围之大,让该网站不仅成了人们的密匙数据集,也成了身份窃贼窃取他人密码的参考数据集。
1701528860
1701528861
RockYou上最流行的密码是123456。据说,该网站上有290 731人使用这个密码。此外,根据年龄和性别的不同,密码设定也有些差异。30岁以下的男性爱用性和脏话作密码:pussy, fuck, fucking,696969,asshole, fucker, horny, hooters, bigdick, tits, boobs等等诸如此类的词汇在名单上都很靠前。年龄较大的男女则倾向于引用当前的流行词汇。Epsilon793本来不会是个热门密码,但它是科幻电视系列剧《星际迷航:下一代》(Star Trek:The Next Generation)里舰长皮卡德所用的密码。七位数8675309也是个高深莫测的常见选择,它是很久以前一首流行歌曲里引用的电话号码。由此可见,“婴儿潮”[15]一代喜欢在密码里追忆过去。
1701528862
1701528864
设置强密码
1701528865
1701528866
事实上,创造一个安全的密码是世界上最简单的事情,使用随机字符串即可。尽管你无法在智力上实现完美的随机性,但形形色色的网站和小程序会帮你生成各式各样的随机密码。下面是我从random.org上找来的例子:
1701528867
1701528868
mvAWzbvf
1701528869
1701528870
83cpzBgA
1701528871
1701528872
tn6kDB4T
1701528873
1701528874
2T9UPPd4
1701528875
1701528876
BLJbsf6r
1701528877
1701528878
设置密码的问题解决了吗?当然,对那些热爱记忆术的偏执狂,或者使用密码管理软件外加指纹读取器的人来说,问题的确解决了。但对于其他大多数人来说,一想到自己的头脑装下这样一大锅字符汤,他们难免会缩手缩脚。每个账户都使用不同密码的告诫对他们则更加没有帮助。
1701528879
[
上一页 ]
[ :1.70152883e+09 ]
[
下一页 ]