密码:并不是安全的“保护神”

  近年来,由于安全事件的频繁发生,互联网领域越来越不太平,前几日,有报道称俄罗斯黑客通过互联网窃取了全球12亿用户的个人信息,尽管报道中未指出是哪一个网站的用户信息被窃,考虑到失窃用户信息数量如此巨大,将对广大普通消费者的网络账户带来严重的安全隐患,业内各界对此表示担忧。

  据电脑安全防护业内人士表示,大部分用户的个人信息通常都是以未加密的纯文本形式储存在网站的服务器中。在这些被盗信息中,就包含有大量用户密码,无论是那些如“password”这般简单的由纯字母组成的密码,还是由乱七八糟的数字和符号组成的复杂得令人难以置信的密码。这些密码的失窃将会使它们的用户在黑客的攻击面前毫无还手之力。

  鉴于此,无论用户的密码多么复杂都无法继续保证信息的安全。根据上述内容我们可以知道,密码保护系统的主体来自于用户自己所设计的符号组合。不论你将如何杂乱的数字、字母、符号拼凑在一起(最好中间再加几个大写字母),或者每90天更新一次密码,但这都不能保证你所做的努力要比一串简单的密码要来得安全。

  在某些情况下,一组复杂的密码确实能对你起到帮助。但另一方面,当有公司掌握着你的这串未经加密过的纯文本形式的密码时,它的复杂性就显得毫无意义。更不用说那些看起来虽很复杂,但实际上却很容易被猜出来的密码组合。一旦有黑客闯入储存有这些密码的电脑,即使它们是经过加密的也存在严重的安全隐患。

  经过此次黑客窃密事件后,那些负责密码设置规则的系统管理员应该明白,他们需要在加密防护流程中承担起更多的责任。他们需要研究出更安全的密码设置方法,以及储存密码的方法。

  现在市面上的密码破解软件早在十多年前就已经掌握了破解密码的窍门。随着密码技术的发展,人们需要的是更随机的,或需要经过100兆次的运算猜测才能破解的密码组合,而不是那些可被预测的,或不需太多运算就能破解的密码组合形式。

  经常使用密码安全强度检测工具的你就会发现,密码的位数越多往往意味着密码强度越高。事实上,密码的长度并不是决定因素,随机性才是决定密码强度的关键。但其中一个致命的问题在于,人类往往不擅长创造出随机的密码。因此,我们或许该更多地关注于如何用双重认证模式来更好地保护账户安全,如在使用密码的同时需要附带输入指纹、文字或类似“U盾”那样的随机数字生成工具。

  对于系统管理员来说,如果他们在俄罗斯黑客窃密前能花更多的时间研究如何储存好用户的密码,如加密网页,通过密码学对用户密码进行二次加密而不是仅仅通过纯文本形式储存,事情的结果就不会这么糟糕。

  业内专家认为,除了一些如在线注册阅读等形式性的加密账户可以使用像“passowrd”这样的简易密码外,我们常用的电子邮箱密码还是越复杂越好。不仅要让别人难以猜测,最好当你在不同的设备上登陆邮箱的时候,还需要另行输入一串由网站发到你个人手机上的随机验证码。

  不管怎样,你只要去问问那些在此次黑客窃密事件中遭受损失的网站就可以知道,仅仅指望复杂的密码来保护用户信息的安全是不切实际的。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:第三方应用:安全问题可以预知