【51CTO.com 獨(dú)家譯稿】在文章的開頭，讓我們假設(shè)，你正在登錄一大堆各種各樣的網(wǎng)站：Facebook、Gmail、eBay、PayPal，或者是一些網(wǎng)上銀行，也可能是論壇之類。這個(gè)時(shí)候，讓我們考慮幾個(gè)問題：

1. 你總能為不同的網(wǎng)站設(shè)置完全不同的密碼，以保證自己不會(huì)把同一個(gè)密碼重復(fù)使用嗎？如果答案是肯定的，那么你能把這種好習(xí)慣永遠(yuǎn)保持下去嗎？

2. 你的密碼總是用不同的細(xì)節(jié)類型加以鞏固嗎，例如采取大、小寫字母結(jié)合或加入數(shù)字及標(biāo)點(diǎn)符號(hào)？它們的密碼"強(qiáng)度"高嗎？

如果在這些問題上，你的答案不都是肯定的，那么你很可能會(huì)面臨一些問題。而且事實(shí)上，你根本沒辦法完全記住自己那些充滿特性、具備極高強(qiáng)度的密碼。并且你越早意識(shí)到這一點(diǎn)，你就能夠越早地采取措施，為自己找到更安全的加密系統(tǒng)解決方案。

請(qǐng)?jiān)试S我用實(shí)例說明一下上述問題，我會(huì)告訴大家當(dāng)你重復(fù)使用或創(chuàng)建一些與現(xiàn)實(shí)生活中的數(shù)據(jù)相關(guān)的低強(qiáng)度密碼時(shí)，會(huì)對(duì)安全方面造成哪些不良影響。我還會(huì)告訴大家怎樣通過一款優(yōu)秀的密碼管理器來克服這些不良影響，借此來亡羊補(bǔ)牢，除非你打算完全憑腦力來記憶那些復(fù)雜難辨的密碼。

[[20775]] 

專題推薦：密碼學(xué)：從理論到實(shí)踐

管理多個(gè)賬戶時(shí)的煩惱

設(shè)想一下，大家在互聯(lián)網(wǎng)上有多少個(gè)賬戶？十個(gè)？二十個(gè)？還是五十個(gè)？可以確定的是，我自己目前已經(jīng)有九十個(gè)左右的賬戶因?yàn)橥浢艽a而無(wú)法登錄了。而且即使常用賬戶只有十個(gè)，如果大家試圖分別為其創(chuàng)建高強(qiáng)度、各不相同且便于記憶的密碼，那么結(jié)果無(wú)疑只能是失敗。

當(dāng)人們采取一種特定的模式來創(chuàng)建密碼時(shí)--例如在密碼中包含自己的姓氏、寵物名字、個(gè)人愛好或者其它一些自然情況--這種有規(guī)律可循的密碼設(shè)置模式會(huì)導(dǎo)致什么后果呢？這種設(shè)置模式絕對(duì)是一把雙刃劍，一方面它使我們的密碼更便于記憶，但另一方面，就算是我們通過一些手段對(duì)其加以掩飾，一旦思路被他人掌握，安全性的問題無(wú)疑是得不到保障的。

那些包含規(guī)律的模式及可推測(cè)得出的字符不夠安全，但相比起來更糟糕的就是重復(fù)使用同一密碼。這種方式能為我們輕松解決該死的密碼記憶問題。好吧，輕松是有了，安全性呢？完全沒戲。

結(jié)構(gòu)簡(jiǎn)單的密碼所帶來的問題

首先，什么樣的密碼可以被確切地稱為簡(jiǎn)單的密碼？

讓我從另一個(gè)角度--分析高強(qiáng)度密碼的特點(diǎn)--來解答這個(gè)問題：一個(gè)高強(qiáng)度的密碼應(yīng)該具備高度的我們稱之為"熵"的特性，或者簡(jiǎn)單來說，應(yīng)該是盡可能由一個(gè)長(zhǎng)效的、完全由隨機(jī)內(nèi)容（如大小寫字符及序列）所構(gòu)成的模式。正如"熵"這個(gè)名詞的鏈接中所解釋的：

人們?cè)诶渺氐奶匦詠懋a(chǎn)生優(yōu)良的安全密碼方面，向來是非常失敗的。

備注：熵，是一種衡量系統(tǒng)中無(wú)序或無(wú)效狀態(tài)的度量，代表事物在不確定性方面所表現(xiàn)出的強(qiáng)度。

請(qǐng)?jiān)试S我說明幾個(gè)最近發(fā)生的，由于上述密碼安全問題所導(dǎo)致的事件。首先說說Gawker，去年十二月份安全攻擊的受害者 ，該事件導(dǎo)致了數(shù)百萬(wàn)用戶的賬戶被公開。更糟糕的是，這些賬戶被直接張貼在網(wǎng)上，任何訪問者只要愿意，都能夠直接查看到哪些用戶已登錄以及他們的密碼內(nèi)容是什么。

有趣的是，在那些公開的信息中，我們看到拙劣的密碼設(shè)定仿佛已經(jīng)成為一種趨勢(shì)?？纯聪旅孢@些密碼吧：

123456, password, 12345678, qwerty, abc123, 12345, monkey, 111111, consumer, letmein, 1234, dragon, trustno1, baseball, gizmodo, whatever, superman, 1234567, sunshine, iloveyou, fuckyou, starwars, shadow, princess, cheese

上述二十五個(gè)密碼在Gawker賬戶中共計(jì)被使用了一萬(wàn)三千四百一十一次。單單是第一個(gè)密碼：123456，就被使用了超過兩千五百次。

另一個(gè)情況類似的例子是上個(gè)月rootkit.com所遭受的攻擊。反數(shù)據(jù)庫(kù)的密碼分析顯示，使用頻率最高的前二十五個(gè)密碼為：

123456, password, rootkit, 111111, 12345678, qwerty, 123456789, 123123, qwertyui, letmein, 12345, 1234, abc123, dvcfghyt, 0, r00tk1t, ì??ê?à, 1234567, 1234567890, 123, fuckyou, 11111111, master, aaaaaa, 1qaz2wsx #p#

似曾相識(shí)吧？更糟糕的是，你可以很輕易地通過用戶名推斷這些密碼的歸屬，只要你知道在哪里能查看到這些用戶名（我把名稱部分做了模糊處理，但其原件在網(wǎng)上不難找到）：

但這兩個(gè)實(shí)例中真正關(guān)鍵的部分是為我們指明了密碼強(qiáng)度的重要性--盡管所有這些數(shù)據(jù)都是經(jīng)過加密之后儲(chǔ)存在數(shù)據(jù)庫(kù)中的。拋開密碼學(xué)角度的概念解析，這兩個(gè)事件中的癥結(jié)所在，其實(shí)是密碼設(shè)定方式太過兒戲。

當(dāng)一個(gè)數(shù)據(jù)庫(kù)--例如rootkit.com的情況--直接暴露在網(wǎng)絡(luò)環(huán)境中，又缺乏強(qiáng)有力的加密保護(hù)，黑客們就可以通過常用密碼索引的反饋及嘗試將其與數(shù)據(jù)庫(kù)內(nèi)容實(shí)施比較的方式來進(jìn)行匹配，借以重現(xiàn)密碼內(nèi)容。加密保護(hù)可能意味著上述嘗試過程需要被重復(fù)上無(wú)數(shù)次，但這種暴力破解是完全自動(dòng)化的，黑客們只需要靜靜等待結(jié)果即可。

密碼索引非常常見且易于獲?。纯雌渲杏袥]有你自己的密碼？），而軟件則借助該索引對(duì)反數(shù)據(jù)庫(kù)展開攻勢(shì)。這一過程中最大的限制在于，計(jì)算機(jī)需要具備足夠的運(yùn)算能力來執(zhí)行這一超級(jí)消耗資源的處理過程。但我們都知道，計(jì)算機(jī)的運(yùn)算能力迅猛發(fā)展，我們可以很容易地獲取足夠的處理資源以便在一秒鐘內(nèi)進(jìn)行四十萬(wàn)次密碼測(cè)試，而經(jīng)濟(jì)成本，每分鐘只需二十八美分。

而密碼設(shè)置的底線是，如果你的密碼需要符合可識(shí)別的模式，那么你仍然有機(jī)會(huì)選用到密碼索引或普遍猜測(cè)無(wú)法破解的內(nèi)容（例如你妻子或孩子的名字）。而如果你的密碼長(zhǎng)度很短，或是其中的字符間的變化很小，那么大量的隨機(jī)嘗試將很有可能將密碼猜中，而你的安全信息也就成了觸手可及的待宰羔羊了。

密碼重復(fù)使用的問題

你可能已經(jīng)了解到，自己不應(yīng)該在多個(gè)賬戶中重復(fù)使用相同的密碼，但我還是希望能通過自己的視角做一些盡可能清楚的說明，這又何樂而不為呢。以下是在我的電子郵箱中靜待閱讀的最新記錄：

大意為：我們網(wǎng)站最近得到消息，稱有些黑客意欲對(duì)我們展開攻擊。我們發(fā)現(xiàn)您的賬戶密碼可能被盜用。如果該密碼也被同樣用于其它賬戶，這種做法顯然是不夠安全的，我們建議您立即修改密碼。

郵件的內(nèi)容可能不是特別清晰，但其主旨在于提醒我們，如果電子郵件地址及密碼被盜用，其后果是相當(dāng)嚴(yán)重的。相對(duì)于單個(gè)網(wǎng)站來說，個(gè)人資料泄露會(huì)給我們帶來一些不便。但如果同樣的密碼被重復(fù)使用于我們的金融理財(cái)、社交網(wǎng)絡(luò)尤其是個(gè)人的電子郵箱賬戶上，帶來的就不僅僅是不便，而是非?？膳碌暮蠊?，它可能會(huì)對(duì)個(gè)人財(cái)產(chǎn)及經(jīng)濟(jì)信用方面造成極大危害。#p#

上述Trapster網(wǎng)站事件后的第二天，tweeter用戶的相關(guān)評(píng)論就如雨后春筍般出現(xiàn)：

內(nèi)容：我發(fā)現(xiàn)因?yàn)樵缦认螺d并在兩年前就已經(jīng)刪除的Trapster應(yīng)用程序被破解，現(xiàn)在自己正在用的谷歌賬戶也被盜了。簡(jiǎn)直豈有此理。

那么讓我們回到我在文章開頭提到的Gawker事件，在事件發(fā)生之后很短的時(shí)間內(nèi)，那些同時(shí)在使用Twitter賬戶的Gawker用戶們就發(fā)現(xiàn)，他們的Tweitter賬戶同樣發(fā)生了異常。于是他們對(duì)Acai berries的口誅筆伐就此展開。

這個(gè)清楚明了的例子向我們展示了重復(fù)使用密碼所帶來的危害。Gawker數(shù)據(jù)庫(kù)非常巨大，因此其中重復(fù)使用密碼的現(xiàn)象也非常普遍，這也為大量Twitter賬戶的丟失埋下了伏筆。這些事件用實(shí)例告訴我們，通過分析那些根據(jù)現(xiàn)實(shí)生活中的數(shù)據(jù)所設(shè)定的密碼，其重復(fù)使用率高得驚人。

毫無(wú)疑問，大多數(shù)這類問題的起因都是網(wǎng)站的現(xiàn)有安全措施不得力。不考慮各項(xiàng)安全指標(biāo)的話，制作一個(gè)網(wǎng)站實(shí)在是非常非常簡(jiǎn)單。而問題的另一個(gè)方面是，幾乎所有的軟件開發(fā)人員在制作網(wǎng)站時(shí)，采取的態(tài)度往往都是"我們這個(gè)網(wǎng)站上的信息并不敏感，所以安全性也沒那么重要啦"。話是沒錯(cuò)，只不過如果你把自己的貝寶賬號(hào)與該網(wǎng)站的密碼設(shè)定得一樣的話，轉(zhuǎn)眼之間你就會(huì)碰到嚴(yán)重的問題了。

因?yàn)槲覀兂３Ｒ褂弥貜?fù)的用戶名--這也是無(wú)可奈何的，有時(shí)候你的用戶名必須是自己的電子郵箱地址，所以沒有別的選擇--這種妥協(xié)會(huì)讓你的密碼很容易地從你的一個(gè)賬戶被引用至另一個(gè)公開賬戶，只需按相同的用戶名搜索即可。其實(shí)有一大堆類似用戶名泄露應(yīng)對(duì)辦法及Hotmail允許輕松創(chuàng)建用戶名不同的附加電子郵箱這類可以大大減少你賬戶風(fēng)險(xiǎn)的服務(wù)可資利用，但這很可能并不是你目前所急需的安全保障功能。

上述情況在日常應(yīng)用中普遍存在嗎？

答案是相當(dāng)普遍。Gawker，rootkit.com以及Trapster都是眼前的例子，除此之外還有更多。打算網(wǎng)上約會(huì)？你可能聽過"Plenty of Fish"這個(gè)站點(diǎn)：

內(nèi)容大意為"Plent of fish"網(wǎng)站用戶講述自己賬號(hào)被盜的情況。#p#

喜歡Lush提供的洗化產(chǎn)品？他們的英國(guó)站點(diǎn)在今年的早些時(shí)候也被攻擊了：

你不用英國(guó)的Lush站點(diǎn)，并認(rèn)為自己的資料是安全的？未必（但別擔(dān)心，這些事件之間并非"有關(guān)聯(lián)"的…）：

內(nèi)容為L(zhǎng)ush網(wǎng)站被攻擊。

當(dāng)然這些都是非常有針對(duì)性的攻擊。而惡意的電腦活動(dòng)則遠(yuǎn)遠(yuǎn)超出了這一范圍，且很難把握其出現(xiàn)規(guī)律。我們現(xiàn)在需要面對(duì)的是大約五千萬(wàn)種電腦病毒，而去年真正爆發(fā)并產(chǎn)生危害的只是其中的兩千萬(wàn)種。

我討論的這些內(nèi)容并非聳人聽聞，只是試圖通過這樣讓大家了解到這種現(xiàn)象其實(shí)極為平常。前面所舉的例子只是近期發(fā)生的眾多安全事件中的幾個(gè)。而且目前仍有大量我們尚未發(fā)覺的攻擊行為正在進(jìn)行，更可怕的是我們的網(wǎng)站運(yùn)營(yíng)商們甚至對(duì)于這種已經(jīng)超出用戶協(xié)議條款的權(quán)益侵害還蒙在鼓里，同時(shí)還在興高采烈地討論其網(wǎng)站的運(yùn)作秩序多么良好。#p#

"安全"密碼的神話

首先來說，"安全"這個(gè)詞常常以一種不容置疑的口吻被提及。事實(shí)并非如此，就說說Stuxnet病毒吧，伊朗核設(shè)施中控制離心機(jī)的電腦--該電腦完全運(yùn)行于與互聯(lián)網(wǎng)斷開的環(huán)境下--依然被該病毒成功攻擊。而這類電腦設(shè)備一直被認(rèn)為在"安全"方面做得天衣無(wú)縫。

這種情況有點(diǎn)像是在形容一輛汽車是"安全"的。有些產(chǎn)品其實(shí)比其它產(chǎn)品做得更好，這一點(diǎn)毫無(wú)疑問，但歸根結(jié)底它只能為用戶提供"相對(duì)較低"的風(fēng)險(xiǎn)。你其實(shí)是在做一種交易--簡(jiǎn)單點(diǎn)說例如設(shè)定一個(gè)密碼或是購(gòu)買一輛汽車--你會(huì)得到相應(yīng)的風(fēng)險(xiǎn)回報(bào)，如你的資料需要更多時(shí)間來破解或在汽車中獲得更為安全的氣囊裝置。

這就是為什么有些運(yùn)營(yíng)商（例如谷歌）認(rèn)為用戶需要?jiǎng)?chuàng)建并牢記那些比較安全的密碼。

真的嗎？你會(huì)去嘗試盡力記住像"Ilovesandwiches（我愛三明治）"這種長(zhǎng)度的隨機(jī)密碼嗎？其實(shí)你所要做的是，將其字符順序做一些調(diào)整，并記住哪種組合對(duì)應(yīng)的是哪個(gè)站點(diǎn)上的賬戶。

此外，高強(qiáng)度密碼的基本思路是要避免使用可預(yù)測(cè)的設(shè)定模式。使用@符號(hào)來代替字母a，或是用數(shù)字3來代替字母e真能使那些賬號(hào)大盜們焦頭爛額嗎？將好記的密碼模式通過替換字符表達(dá)方法的方式加以保護(hù)，其實(shí)是相當(dāng)表面化而且薄弱無(wú)力的辦法。相信我，盜號(hào)者們都聽說過這種招數(shù)。

事實(shí)上，我在前面給出的密碼索引中，這種包含字符替換的情況屢見不鮮。在那里你會(huì)發(fā)現(xiàn)類似"S@ygoodbye"和"socc3rRul3s"這樣的密碼其實(shí)并不完全"安全"。

把你的密碼寫在紙上也不會(huì)對(duì)賬號(hào)安全起到什么積極作用。因?yàn)槟憬?jīng)常使用的密碼很多（正視這一點(diǎn)，絕對(duì)是很多），你會(huì)需要把賬戶名稱也跟密碼寫在一起，這意味著你已經(jīng)為那些意圖不軌的竊賊、充滿好奇的孩子及喜愛八卦的客人們提供了絕佳的窺探溫床。

以手寫形式記錄密碼的另一個(gè)問題是，如今我們中的許多人都會(huì)在不同的地點(diǎn)以不同的方式（例如家用電腦、辦公室電腦及我們的移動(dòng)設(shè)備等）登錄賬戶。而事實(shí)上，很多情況下我們都無(wú)法同上網(wǎng)一樣輕松地在手邊拿到自己的密碼記錄本--這對(duì)于多數(shù)人來說都是種極大的不便。

而最后一點(diǎn)，手寫高強(qiáng)度的密碼絕對(duì)會(huì)帶給你很多痛苦，尤其是每次登錄時(shí)不斷地重復(fù)輸入。記住，一個(gè)高強(qiáng)度的密碼通常會(huì)很長(zhǎng)，內(nèi)容也會(huì)非常隨機(jī)，而完全手動(dòng)地輸入它會(huì)讓人覺得異常乏味，也很容易出錯(cuò)。

那么把這些密碼存儲(chǔ)在一個(gè)Word文檔中或是類似Outlook這樣的筆記本系統(tǒng)中呢？顯然它們相當(dāng)容易被盜，而這種情況一旦發(fā)生，其中的內(nèi)容也極易被提取，因?yàn)檫@些保存機(jī)制都不會(huì)被加密。當(dāng)有人打你這類記錄文件的主意時(shí)，造成的損害絕對(duì)會(huì)令你相當(dāng)不愉快。

讓自己從密碼的煩惱中解脫出來

從字面上來看，我們的標(biāo)題的確有點(diǎn)奇怪。在忘記了自己密碼的前提下，我們究竟要怎樣登陸自己的網(wǎng)站賬戶呢？！其實(shí)你所需要的非常簡(jiǎn)單，就是一套專門的密碼管理系統(tǒng)。而這種實(shí)用且安全的機(jī)制在實(shí)際應(yīng)用方面就目前來說還非常有限。

幸運(yùn)的是，我們找到了一些專門處理這類問題的工具，例如LastPass，KeePass以及我個(gè)人的最愛--1Password。所有這些工具都能為我們的資料提供強(qiáng)力的保護(hù)，而其記錄的每個(gè)密碼都有獨(dú)立的加密機(jī)制。當(dāng)然你還需要額外的一個(gè)密碼才能將加密的文件解開，但在前面提到的這些工具軟件提供的幫助之下，你只要記住這一個(gè)密碼就夠了。

編輯注：我們?cè)谧罱膸讉€(gè)月中，一直在提到如何利用LastPass 來改進(jìn)我們的密碼安全度。在下面的內(nèi)容中，文章會(huì)帶領(lǐng)大家一起深入了解1Password《1Password密碼管理器使用指南》。選擇內(nèi)容中適合你，尤其是適合你正在面對(duì)的應(yīng)用問題的部分是最重要的。

原文鏈接：http://lifehacker.com/#!5785420/the-only-secure-password-is-the-one-you-cant-remember

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. MySQL.com被SQL注入攻擊 用戶密碼數(shù)據(jù)被公布
2. 破解你的密碼需要多長(zhǎng)時(shí)間？
3. 什么是赤裸的密碼 讓美女來告訴你
4. Pwdump：一款Windows密碼破解和恢復(fù)工具