近日,有報(bào)道稱(chēng)俄羅斯黑客通過(guò)互聯(lián)網(wǎng)竊取了全球12億用戶的個(gè)人信息,盡管報(bào)道中未指出是哪一個(gè)網(wǎng)站的用戶. . .
8月12日消息,據(jù)國(guó)外媒體報(bào)道,近日,有報(bào)道稱(chēng)俄羅斯黑客通過(guò)互聯(lián)網(wǎng)竊取了全球12億用戶的個(gè)人信息,盡管報(bào)道中未指出是哪一個(gè)網(wǎng)站的用戶信息被竊,考慮到失竊用戶信息數(shù)量如此巨大,將對(duì)廣大普通消費(fèi)者的網(wǎng)絡(luò)賬戶帶來(lái)嚴(yán)重的安全隱患,業(yè)內(nèi)各界對(duì)此表示擔(dān)憂。
據(jù)電腦安全防護(hù)業(yè)內(nèi)人士表示,大部分用戶的個(gè)人信息通常都是以未加密的純文本形式儲(chǔ)存在網(wǎng)站的服務(wù)器中。在這些被盜信息中,就包含有大量用戶密碼,無(wú)論是那些如“password”這般簡(jiǎn)單的由純字母組成的密碼,還是由亂七八糟的數(shù)字和符號(hào)組成的復(fù)雜得令人難以置信的密碼。這些密碼的失竊將會(huì)使它們的用戶在黑客的攻擊面前毫無(wú)還手之力。
鑒于此,無(wú)論用戶的密碼多么復(fù)雜都無(wú)法繼續(xù)保證信息的安全。根據(jù)上述內(nèi)容我們可以知道,密碼保護(hù)系統(tǒng)的主體來(lái)自于用戶自己所設(shè)計(jì)的符號(hào)組合。不論你將如何雜亂的數(shù)字、字母、符號(hào)拼湊在一起(最好中間再加幾個(gè)大寫(xiě)字母),或者每90天更新一次密碼,但這都不能保證你所做的努力要比一串簡(jiǎn)單的密碼要來(lái)得安全。
在某些情況下,一組復(fù)雜的密碼確實(shí)能對(duì)你起到幫助。但另一方面,當(dāng)有公司掌握著你的這串未經(jīng)加密過(guò)的純文本形式的密碼時(shí),它的復(fù)雜性就顯得毫無(wú)意義。更不用說(shuō)那些看起來(lái)雖很復(fù)雜,但實(shí)際上卻很容易被猜出來(lái)的密碼組合。一旦有黑客闖入儲(chǔ)存有這些密碼的電腦,即使它們是經(jīng)過(guò)加密的也存在嚴(yán)重的安全隱患。
經(jīng)過(guò)此次黑客竊密事件后,那些負(fù)責(zé)密碼設(shè)置規(guī)則的系統(tǒng)管理員應(yīng)該明白,他們需要在加密防護(hù)流程中承擔(dān)起更多的責(zé)任。他們需要研究出更安全的密碼設(shè)置方法,以及儲(chǔ)存密碼的方法。
從事密碼防護(hù)工作多年的微軟研究員柯麥科·赫利(Cormac Herley)對(duì)此表示,“幾乎每一個(gè)系統(tǒng)管理員對(duì)密碼防護(hù)技術(shù)都感到困惑,雖然他們負(fù)責(zé)制定密碼的設(shè)置規(guī)則,但至于為何要這樣做,大家都是一知半解。”事實(shí)上,他們應(yīng)該多花時(shí)間去研究其他的系統(tǒng)安全防護(hù)方式。
赫利對(duì)此表示,“現(xiàn)在市面上的密碼破解軟件早在十多年前就已經(jīng)掌握了破解密碼的竅門(mén)。隨著密碼技術(shù)的發(fā)展,人們需要的是更隨機(jī)的,或需要經(jīng)過(guò)100兆次的運(yùn)算猜測(cè)才能破解的密碼組合,而不是那些可被預(yù)測(cè)的,或不需太多運(yùn)算就能破解的密碼組合形式。”
經(jīng)常使用密碼安全強(qiáng)度檢測(cè)工具的你就會(huì)發(fā)現(xiàn),密碼的位數(shù)越多往往意味著密碼強(qiáng)度越高。事實(shí)上,密碼的長(zhǎng)度并不是決定因素,赫利表示,隨機(jī)性才是決定密碼強(qiáng)度的關(guān)鍵。但其中一個(gè)致命的問(wèn)題在于,人類(lèi)往往不擅長(zhǎng)創(chuàng)造出隨機(jī)的密碼。因此,我們或許該更多地關(guān)注于如何用雙重認(rèn)證模式來(lái)更好地保護(hù)賬戶安全,如在使用密碼的同時(shí)需要附帶輸入指紋、文字或類(lèi)似“U盾”那樣的隨機(jī)數(shù)字生成工具。
對(duì)于系統(tǒng)管理員來(lái)說(shuō),如果他們?cè)诙砹_斯黑客竊密前能花更多的時(shí)間研究如何儲(chǔ)存好用戶的密碼,如加密網(wǎng)頁(yè),通過(guò)密碼學(xué)對(duì)用戶密碼進(jìn)行二次加密而不是僅僅通過(guò)純文本形式儲(chǔ)存,事情的結(jié)果就不會(huì)這么糟糕。為微軟研究密碼防護(hù)的計(jì)算機(jī)科學(xué)教授保羅·馮·奧爾斯霍特(Paul van Oorschot)表示,“相比起讓終端用戶為密碼的設(shè)置費(fèi)心思,為什么我們不在系統(tǒng)層面上付出更多的努力以防止密碼數(shù)據(jù)庫(kù)的泄露?”
包括亞馬遜在內(nèi)的部分企業(yè)如今似乎已明白了這個(gè)道理,它們?cè)试S最低設(shè)置6位數(shù)的密碼,對(duì)數(shù)字或特別字符也沒(méi)有任何要求。而蘋(píng)果公司則相反,依然要求用戶接受密碼設(shè)置的“酷刑考驗(yàn)”:大寫(xiě)字母、數(shù)字、小寫(xiě)字母。
業(yè)內(nèi)專(zhuān)家認(rèn)為,除了一些如在線注冊(cè)閱讀等形式性的加密賬戶可以使用像“passowrd”這樣的簡(jiǎn)易密碼外,我們常用的電子郵箱密碼還是越復(fù)雜越好。不僅要讓別人難以猜測(cè),最好當(dāng)你在不同的設(shè)備上登陸郵箱的時(shí)候,還需要另行輸入一串由網(wǎng)站發(fā)到你個(gè)人手機(jī)上的隨機(jī)驗(yàn)證碼。
不管怎樣,你只要去問(wèn)問(wèn)那些在此次黑客竊密事件中遭受損失的網(wǎng)站就可以知道,僅僅指望復(fù)雜的密碼來(lái)保護(hù)用戶信息的安全是不切實(shí)際的。這正如赫利所言,“當(dāng)12億用戶信息被人從幾乎不設(shè)防的服務(wù)器上竊走的時(shí)候,為何我們還要迫使網(wǎng)絡(luò)用戶費(fèi)盡心思去選擇更為安全的密碼,以抵擋那些越來(lái)越高深莫測(cè)的測(cè)算攻擊?這簡(jiǎn)直是浪費(fèi)時(shí)間。”
詳細(xì)內(nèi)容,請(qǐng)登錄九思官方網(wǎng)站:http://wowentech.com
歡迎關(guān)注九思新浪微博:http://weibo.com/wanghaibo100
更多精彩內(nèi)容,請(qǐng)關(guān)注九思OA官方微信
