【51CTO.com 7月6日外電頭條】你的密碼到底有多安全呢？

LulzSec黑客組織可能終于停止了持續(xù)50天的瘋狂的黑客活動(dòng)，這意味著InfraGard、美國(guó)參議院、索尼網(wǎng)站及其他機(jī)構(gòu)的用戶們晚上可以睡得比較踏實(shí)了。但是大家不要因?yàn)樽罱@股黑客活動(dòng)明顯停止而誤以為有一種虛假的安全感。

[[35323]]

現(xiàn)在有越來(lái)越多的證據(jù)表明，人們偏愛(ài)使用很短的、非隨機(jī)性的、因而不安全的密碼--這些證據(jù)包括LulzSec所鉆的眾多漏洞、Gawker去年被黑事件，甚至整整10年來(lái)研究Unix用戶選擇密碼的習(xí)慣的調(diào)查。他們還往往在多個(gè)網(wǎng)站上重復(fù)使用同一批密碼。其背后的道理很明顯：這樣一來(lái)，密碼用起來(lái)比較省事。

遺憾的是，這也導(dǎo)致了安全性很差。比如說(shuō)，只要看一下LulzSec針對(duì)隸屬聯(lián)邦調(diào)查局（FBI）的InfraGard的亞特蘭大分支機(jī)構(gòu)發(fā)起的其中一次攻擊，黑客們竊取了成員們的用戶名和密碼組合。然后，那些登錄資料讓LulzSec得以闖入亞特蘭大InfraGard會(huì)員Karim Hijazi的辦公和個(gè)人Gmail帳戶。Hijazi是個(gè)頗有爭(zhēng)議的安全顧問(wèn)，他是監(jiān)控僵尸網(wǎng)絡(luò)的新興公司Unveillance的首席執(zhí)行官兼總裁。但是連他也重復(fù)使用密碼。

然而，密碼重復(fù)使用還是唯一的問(wèn)題。另一個(gè)威脅是，攻擊者會(huì)獲得對(duì)網(wǎng)站密碼數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)，因而竊取一份副本。這時(shí)候，就算數(shù)據(jù)庫(kù)已加密，（推薦閱讀：2011年上半年五大臭名昭著的數(shù)據(jù)庫(kù)泄密事件）攻擊者照樣可以在線下向數(shù)據(jù)庫(kù)頻頻發(fā)起攻擊，使用像AccessData公司的Password Recovery Toolkit這樣的工具，在比較短的時(shí)間內(nèi)將密碼破解出來(lái)。處理能力不成問(wèn)題。的確，喬治亞理工學(xué)院的研究人員利用個(gè)人電腦內(nèi)置的圖形卡，就能夠立即破解甚至長(zhǎng)度在12個(gè)字符以下的散列密碼。

喬治亞理工學(xué)院的研究人員建議密碼的長(zhǎng)度至少應(yīng)該是12個(gè)字符；而且字母、數(shù)字和符號(hào)混合使用，這并非巧合。但是誰(shuí)又記得住為自己使用的每一個(gè)比較重要的網(wǎng)站設(shè)置的獨(dú)特的、隨機(jī)性（即高度無(wú)序）的12個(gè)字符長(zhǎng)密碼？

幸好，現(xiàn)在不乏創(chuàng)建很長(zhǎng)強(qiáng)密碼的方法。比如說(shuō)，人們可以使用口令短語(yǔ)（pass phrase）--這些其實(shí)是句子，而不是使用密碼。與此同時(shí)，另一個(gè)辦法是使用某種預(yù)定邏輯來(lái)創(chuàng)建密碼。比如說(shuō)，密碼"mniE"是"my name is Earl"（我的名字叫Earl）的簡(jiǎn)稱(chēng)--當(dāng)然在理想情況下，密碼要長(zhǎng)得多。這種方法的支持者常常建議使用包含網(wǎng)站名稱(chēng)的稍加變化的密碼，那樣對(duì)某個(gè)密碼稍加改動(dòng)，就可以用于不同的其他網(wǎng)站。比如說(shuō)，就亞馬遜網(wǎng)站（Amazon.com）而言，稍加變化的密碼可能是"mAMAniE"。

據(jù)微軟前任安全項(xiàng)目經(jīng)理、現(xiàn)在是亞馬遜網(wǎng)站的首席安全架構(gòu)師Jesper M. Johansson聲稱(chēng)，盡管有可能增強(qiáng)安全性，但是否有許多人不厭其煩地使用口令短語(yǔ)還是個(gè)未知數(shù)。此外，根據(jù)一些粗略的估計(jì)，他表示人們可能需要使用六個(gè)單字長(zhǎng)的口令短語(yǔ)--很快開(kāi)始變得很笨拙，才能獲得與9個(gè)字符長(zhǎng)的密碼同樣級(jí)別的熵（entropy）。最后，在不同網(wǎng)站上重復(fù)使用密碼的一部分意味著，攻擊者只要竊取了用戶名和密碼組合，就能夠通過(guò)逆向工程來(lái)破解邏輯。

因而，要加強(qiáng)密碼安全，最簡(jiǎn)單、最省事的方法還是干脆把密碼記下來(lái)，不過(guò)最好采用高度安全的方式。漏洞信息提供商Secunia的首席安全官Thomas Kristensen在接受采訪時(shí)說(shuō)："你能做的最明智投入就是去外面買(mǎi)一只數(shù)字錢(qián)包，把密碼裝在里面。在不同的網(wǎng)站上重復(fù)使用密碼根本就是最糟糕的做法?？匆幌陆衲晁械木W(wǎng)站泄密事件，就會(huì)發(fā)現(xiàn)存在帳戶資料丟失的風(fēng)險(xiǎn)；一旦你的密碼公之于眾，并與你的電子郵件地址聯(lián)系在一起，你可能直到有人竊取了東西，才知道密碼被人竊取。"

數(shù)字密碼錢(qián)包的另一個(gè)優(yōu)點(diǎn)在于，軟件不但讓人們很容易保存密碼，還很容易創(chuàng)建一個(gè)高度隨機(jī)的強(qiáng)密碼。這樣一來(lái)，為訪問(wèn)的每一個(gè)網(wǎng)站維護(hù)一個(gè)不同的密碼就輕而易舉。相應(yīng)地，下一次黑客破解了索尼密碼數(shù)據(jù)庫(kù)，即使數(shù)據(jù)庫(kù)里面含有你的用戶名和密碼，黑客也無(wú)法在其他任何地方來(lái)破解這對(duì)組合。

然而，數(shù)字密碼錢(qián)包的確意味著要下載、安裝和使用另一個(gè)軟件。Kristensen說(shuō)："我知道，這有點(diǎn)討厭"；10年來(lái)，他一直在使用名為KeePass的開(kāi)源應(yīng)用軟件。不過(guò)他表示，使用數(shù)字錢(qián)包完全是一個(gè)最佳做法。"它不是完美的解決方案，但是比重復(fù)使用密碼要安全得多。"

說(shuō)到安全地存儲(chǔ)密碼的密碼管理軟件，現(xiàn)在有眾多選擇。比如說(shuō)，英國(guó)電信集團(tuán)（BT）的首席安全技術(shù)官 Bruce Schneier創(chuàng)建了PasswordSafe，這個(gè)易于使用的開(kāi)源密碼數(shù)據(jù)庫(kù)面向Windows。這類(lèi)軟件還有蘋(píng)果OS X版本（比如共享軟件PasswordWallet也可用于Windows環(huán)境）。另一個(gè)選擇是如上所述的KeePass，它不僅可以在這兩款操作系統(tǒng)上運(yùn)行，還能在Linux上運(yùn)行。

此外，許多密碼錢(qián)包會(huì)在你的電腦與移動(dòng)設(shè)備之間同步密碼，這意味著你總是隨身攜帶著一份安全的、受密碼保護(hù)的密碼和個(gè)人身份識(shí)別號(hào)（PIN）代碼。（有必要提一下，人們選擇PIN的做法大概比選擇密碼的習(xí)慣還要糟糕。）

總結(jié)一下，不妨為每一個(gè)重要的網(wǎng)站創(chuàng)建一個(gè)獨(dú)特的、隨機(jī)的、很長(zhǎng)的強(qiáng)密碼，以確保密碼安全性。然后，把這些密碼存放到數(shù)字保險(xiǎn)箱，確保妥善保存了密碼。這么做的話，就不用害怕下一個(gè)LulzSec了。

原文鏈接：http://informationweek.com/news/tech-center/mobile-security/231000545?pgno=1