你的密碼安全嗎

王連海

你知道嗎？你有一個保守得不太好的秘密，而這個秘密足以徹底打亂你現(xiàn)在的生活。這個秘密可能只是一串簡單的數(shù)字——這就是當(dāng)你登錄電腦、網(wǎng)站、電子郵箱或者網(wǎng)上銀行時使用的密碼。

信息時代，密碼令人很受傷

自從信息時代拉開帷幕，我們就想當(dāng)然地認(rèn)為精心設(shè)計的密碼可以保護(hù)我們的隱私，保護(hù)我們的電子郵箱、銀行賬號、網(wǎng)上相冊的使用安全。然而，近年來密碼泄露事件時有發(fā)生。如何保護(hù)自己的密碼不被黑客盜用，已經(jīng)成為令眾多網(wǎng)民苦惱的問題。

第一臺使用密碼的計算機(jī)是美國麻省理工學(xué)院在1961年開發(fā)的大型分時系統(tǒng)CTSS。為了限制用戶使用的時間，CTSS設(shè)置了一個登錄程序。1962年，一個名叫艾倫·斯科爾的博士生為了獲得更多的使用時間，用一個簡單的手段騙過了登錄系統(tǒng)。他找到了包含所有用戶名和密碼的文件，然后把它們打印下來，這樣就可以利用這些用戶名和密碼無限制地上機(jī)了。

在信息時代初期，密碼非常管用，因為那時我們需要保護(hù)的數(shù)據(jù)很少，最多就是電子郵箱。由于侵入私人賬戶沒有太大的意義，真正的黑客都把目標(biāo)鎖定在大公司的信息系統(tǒng)。人們漸漸放松警惕，郵箱地址于是變成了一種通用的登錄方式，成為幾乎所有賬號的用戶名。現(xiàn)在，我們大多數(shù)人依然習(xí)慣通過郵箱地址登錄網(wǎng)上各種各樣的應(yīng)用，處理銀行業(yè)務(wù)、發(fā)微博、進(jìn)行網(wǎng)上購物，甚至在網(wǎng)盤里儲存自己的私密照片和重要文件。當(dāng)黑客入侵的情況愈演愈烈后，人們才開始尋求更安全的密碼保護(hù)方式，安全也成為很多網(wǎng)絡(luò)公司吸引人們在其網(wǎng)站注冊并儲存信息的噱頭。

然而，對于任何一個系統(tǒng)來說，最安全的并不意味著就是最好的。256位的16進(jìn)制密碼或許可以保證安全，但如果讓你每次都輸入這么繁瑣的密碼，你可能寧愿放棄登錄。于是，各大網(wǎng)絡(luò)公司提出了折中的辦法，建議人們把密碼內(nèi)容設(shè)置得更復(fù)雜一些。人們也以為只要密碼足夠長，里面既包含數(shù)字又包含字母，再加上標(biāo)點符號，就萬事大吉了。

事實并非如此?，F(xiàn)在一臺筆記本電腦的處理能力比10年前的一臺高端工作站都強(qiáng)，破解一個長密碼輕而易舉。而且，黑客的新技術(shù)層出不窮，盜取密碼猶如探囊取物。更重要的是，黑客可以完全不用密碼直接攻擊我們的賬戶。因此，從某種意義上來說，不管密碼設(shè)計得多長多復(fù)雜都是徒勞，近年來屢見不鮮的網(wǎng)站數(shù)據(jù)泄露事件就是最好的例證。

密碼面臨重重安全威脅

《孫子兵法》有云：“知己知彼，百戰(zhàn)不殆。”要想保證自己賬戶的安全，就先要了解黑客是怎樣想辦法獲取電腦或者網(wǎng)絡(luò)系統(tǒng)的密碼的。

我們先從最簡單的黑客技術(shù)說起：猜解密碼。這是一個非常簡單卻又非常有效的手段。在互聯(lián)網(wǎng)中，有大量的人在使用簡單且容易猜到的密碼。2011年，金山公司列出了國內(nèi)外使用最多的弱安全性密碼。在這份榜單中，排在前列的是“12345678”“123456”“password”。很多黑客工具都能夠自動破解簡單密碼，而黑客所需要的僅僅是擁有網(wǎng)絡(luò)連接，再加上一份密碼清單，他們便可以通過不斷嘗試來破解密碼了。

黑客另一個常用的手段是利用用戶的錯誤——密碼重用，即重復(fù)使用相同的密碼。用戶在注冊不同的網(wǎng)站時，為了便于記憶，往往采用相同的用戶名和密碼。此時，如果其中一個網(wǎng)站的賬戶信息泄露，則用戶注冊的其他賬戶都將受到黑客的威脅。黑客們還會通過欺騙來獲取用戶的密碼，最常用的技術(shù)就是網(wǎng)絡(luò)釣魚。釣魚網(wǎng)站上顯示的內(nèi)容與銀行等官網(wǎng)上的內(nèi)容高度相似，使用者在釣魚網(wǎng)站上輸入個人敏感信息，黑客截獲這些信息，而這時使用者毫無察覺。更為高級的盜取密碼的方式是使用惡意軟件：這些軟件藏身于用戶的電腦中，惡意收集用戶信息，并秘密地向其他人發(fā)送用戶的數(shù)據(jù)。

近年來，一種新型的黑客攻擊方法越來越受到關(guān)注，這就是重置用戶密碼。它利用了整個密碼保護(hù)系統(tǒng)中最脆弱的環(huán)節(jié)——人的記憶力。復(fù)雜的密碼容易被遺忘，于是人們需要一種機(jī)制來重置用戶密碼。為了方便用戶，這個重置密碼的過程不能過于繁瑣，黑客正是利用這個特點來竊取用戶密碼。常見的密碼保護(hù)問題有：“我的老婆/老公叫什么？”“我是哪里人？”“我的小學(xué)在哪里？”等。如果這些問題的答案可以被搜集到，那么黑客就能夠冒充真正的用戶，謊稱自己忘記密碼，從而利用系統(tǒng)的密碼保護(hù)功能，重新設(shè)置密碼，侵入用戶賬戶。即便上述方法無法奏效，黑客也可以通過掌握的部分信息，比如身份證號碼，向客服人員申訴，從而達(dá)到冒充真正用戶、盜取密碼的目的。

另外，軟硬件的漏洞也是黑客攻擊利用的重要對象。由于某些型號的無線路由器存在某個無需授權(quán)認(rèn)證的特定功能頁面，惡意攻擊者訪問該頁面后，可引導(dǎo)路由器自動下載惡意代碼，從而獲得路由器的最高權(quán)限。借此，入侵者可以通過操控路由器來安裝插件、木馬病毒或者直接記錄用戶在網(wǎng)上的一舉一動，獲取QQ密碼、網(wǎng)上銀行賬號都不在話下。

近年來，社交網(wǎng)絡(luò)、移動互聯(lián)網(wǎng)、云計算等新型網(wǎng)絡(luò)應(yīng)用的涌現(xiàn)，將人、信息和資源越來越緊密地關(guān)聯(lián)在一起，也為黑客攻擊提供了可乘之機(jī)。針對一些當(dāng)下熱門的社交網(wǎng)站，黑客在攻入并竊取密碼后，一方面可以利用此社交網(wǎng)站繼續(xù)散布病毒和惡意軟件，另一方面可以竊取電腦和移動智能終端中的用戶隱私信息。隨著智能終端的普及，智能終端已經(jīng)成為黑客攻擊的主要目標(biāo)。手機(jī)病毒層出不窮，用戶一旦感染病毒，就會造成信息泄露、流量消耗等惡果。此外，越來越多的人將自己的資料和大量有價值的信息轉(zhuǎn)移到“云端”，這些“云”正在成為黑客攻擊的新目標(biāo)。

小鏈接

自己動手保護(hù)自己的隱私

1.避免密碼重用，防止黑客獲得你所有賬號的權(quán)限。

2.避免用英語單詞作為密碼，防止黑客輕易破解。

3.避免使用變形的常用口令，比如“P455w@rd”（因類似“Password”而便于記憶），其實，流行的密碼破解工具可以輕松地破解此類密碼。

4.不要使用短的密碼——無論是多么特殊的組合（如“h6！r$q”），最好的防御就是使用盡可能長的密碼。

我們還應(yīng)該馬上著手做下面的6件事，它們能夠讓你的賬戶更難被黑客侵入。

1.啟用雙重認(rèn)證，盡可能使用手機(jī)接收驗證碼，讓黑客望而卻步。

2.向安全問題提供假答案，比如“我的家鄉(xiāng)在哪里”，答案完全可以是“我吃過了”。

3.創(chuàng)建一個名稱與自己的用戶名毫無關(guān)聯(lián)的特殊郵件賬戶，僅用于執(zhí)行密碼恢復(fù)任務(wù)。

4.盡可能使用長的、復(fù)雜的密碼，而且要定期更換，以保證安全。

5.安全使用網(wǎng)絡(luò)，及時清除上網(wǎng)痕跡，不要把秘密留在網(wǎng)絡(luò)上，不要給不懷好意的人留下可乘之機(jī)。

6.及時安裝系統(tǒng)安全補(bǔ)丁，防范黑客利用漏洞入侵系統(tǒng)。

總而言之，在現(xiàn)階段的網(wǎng)絡(luò)環(huán)境中，已經(jīng)沒有絕對安全的密碼，為保護(hù)個人隱私，應(yīng)盡量避免將隱私信息保存在互聯(lián)網(wǎng)上。

（卡巴斯基摘自《科學(xué)畫報》2013年第7期，小黑孩圖）