据电脑安全防护业内人士表示,大部分用户的个人信息通常都是以未加密的纯文本形式储存在网站的服务器中。在这些被盗信息中,就包含有大量用户密码,无论是那些如“password”这般简单的由纯字母组成的密码,还是由乱七八糟的数字和符号组成的复杂得令人难以置信的密码。这些密码的失窃将会使它们的用户在黑客的攻击面前毫无还手之力。
鉴于此,无论用户的密码多么复杂都无法继续保证信息的安全。根据上述内容我们可以知道,密码保护系统的主体来自于用户自己所设计的符号组合。不论你将如何杂乱的数字、字母、符号拼凑在一起(最好中间再加几个大写字母),或者每90天更新一次密码,但这都不能保证你所做的努力要比一串简单的密码要来得安全。
在某些情况下,一组复杂的密码确实能对你起到帮助。但另一方面,当有公司掌握着你的这串未经加密过的纯文本形式的密码时,它的复杂性就显得毫无意义。更不用说那些看起来虽很复杂,但实际上却很容易被猜出来的密码组合。一旦有黑客闯入储存有这些密码的电脑,即使它们是经过加密的也存在严重的安全隐患。
经过此次黑客窃密事件后,那些负责密码设置规则的系统管理员应该明白,他们需要在加密防护流程中承担起更多的责任。他们需要研究出更安全的密码设置方法,以及储存密码的方法。
从事密码防护工作多年的微软研究员柯麦科·赫利(Cormac Herley)对此表示,“几乎每一个系统管理员对密码防护技术都感到困惑,虽然他们负责制定密码的设置规则,但至于为何要这样做,大家都是一知半解。”事实上,他们应该多花时间去研究其他的系统安全防护方式。
赫利对此表示,“现在市面上的密码破解软件早在十多年前就已经掌握了破解密码的窍门。随着密码技术的发展,人们需要的是更随机的,或需要经过100兆次的运算猜测才能破解的密码组合,而不是那些可被预测的,或不需太多运算就能破解的密码组合形式。”
经常使用密码安全强度检测工具的你就会发现,密码的位数越多往往意味着密码强度越高。事实上,密码的长度并不是决定因素,赫利表示,随机性才是决定密码强度的关键。但其中一个致命的问题在于,人类往往不擅长创造出随机的密码。因此,我们或许该更多地关注于如何用双重认证模式来更好地保护账户安全,如在使用密码的同时需要附带输入指纹、文字或类似“U盾”那样的随机数字生成工具。
对于系统管理员来说,如果他们在俄罗斯黑客窃密前能花更多的时间研究如何储存好用户的密码,如加密网页,通过密码学对用户密码进行二次加密而不是仅仅通过纯文本形式储存,事情的结果就不会这么糟糕。为微软研究密码防护的计算机科学教授保罗·冯·奥尔斯霍特(Paul van Oorschot)表示,“相比起让终端用户为密码的设置费心思,为什么我们不在系统层面上付出更多的努力以防止密码数据库的泄露?”
包括亚马逊在内的部分企业如今似乎已明白了这个道理,它们允许最低设置6位数的密码,对数字或特别字符也没有任何要求。而苹果公司则相反,依然要求用户接受密码设置的“酷刑考验”:大写字母、数字、小写字母。
业内专家认为,除了一些如在线注册阅读等形式性的加密账户可以使用像“passowrd”这样的简易密码外,我们常用的电子邮箱密码还是越复杂越好。不仅要让别人难以猜测,最好当你在不同的设备上登陆邮箱的时候,还需要另行输入一串由网站发到你个人手机上的随机验证码。
不管怎样,你只要去问问那些在此次黑客窃密事件中遭受损失的网站就可以知道,仅仅指望复杂的密码来保护用户信息的安全是不切实际的。这正如赫利所言,“当12亿用户信息被人从几乎不设防的服务器上窃走的时候,为何我们还要迫使网络用户费尽心思去选择更为安全的密码,以抵挡那些越来越高深莫测的测算攻击?这简直是浪费时间。”