密碼 加強安全的若干技巧
譯文【51CTO.com 7月6日外電頭條】你的密碼到底有多安全呢?
LulzSec黑客組織可能終于停止了持續50天的瘋狂的黑客活動,這意味著InfraGard、美國參議院、索尼網站及其他機構的用戶們晚上可以睡得比較踏實了。但是大家不要因為最近這股黑客活動明顯停止而誤以為有一種虛假的安全感。
現在有越來越多的證據表明,人們偏愛使用很短的、非隨機性的、因而不安全的密碼--這些證據包括LulzSec所鉆的眾多漏洞、Gawker去年被黑事件,甚至整整10年來研究Unix用戶選擇密碼的習慣的調查。他們還往往在多個網站上重復使用同一批密碼。其背后的道理很明顯:這樣一來,密碼用起來比較省事。
遺憾的是,這也導致了安全性很差。比如說,只要看一下LulzSec針對隸屬聯邦調查局(FBI)的InfraGard的亞特蘭大分支機構發起的其中一次攻擊,黑客們竊取了成員們的用戶名和密碼組合。然后,那些登錄資料讓LulzSec得以闖入亞特蘭大InfraGard會員Karim Hijazi的辦公和個人Gmail帳戶。Hijazi是個頗有爭議的安全顧問,他是監控僵尸網絡的新興公司Unveillance的首席執行官兼總裁。但是連他也重復使用密碼。
然而,密碼重復使用還是唯一的問題。另一個威脅是,攻擊者會獲得對網站密碼數據庫的訪問權,因而竊取一份副本。這時候,就算數據庫已加密,(推薦閱讀:2011年上半年五大臭名昭著的數據庫泄密事件)攻擊者照樣可以在線下向數據庫頻頻發起攻擊,使用像AccessData公司的Password Recovery Toolkit這樣的工具,在比較短的時間內將密碼破解出來。處理能力不成問題。的確,喬治亞理工學院的研究人員利用個人電腦內置的圖形卡,就能夠立即破解甚至長度在12個字符以下的散列密碼。
喬治亞理工學院的研究人員建議密碼的長度至少應該是12個字符;而且字母、數字和符號混合使用,這并非巧合。但是誰又記得住為自己使用的每一個比較重要的網站設置的獨特的、隨機性(即高度無序)的12個字符長密碼?
幸好,現在不乏創建很長強密碼的方法。比如說,人們可以使用口令短語(pass phrase)--這些其實是句子,而不是使用密碼。與此同時,另一個辦法是使用某種預定邏輯來創建密碼。比如說,密碼"mniE"是"my name is Earl"(我的名字叫Earl)的簡稱--當然在理想情況下,密碼要長得多。這種方法的支持者常常建議使用包含網站名稱的稍加變化的密碼,那樣對某個密碼稍加改動,就可以用于不同的其他網站。比如說,就亞馬遜網站(Amazon.com)而言,稍加變化的密碼可能是"mAMAniE"。
據微軟前任安全項目經理、現在是亞馬遜網站的首席安全架構師Jesper M. Johansson聲稱,盡管有可能增強安全性,但是否有許多人不厭其煩地使用口令短語還是個未知數。此外,根據一些粗略的估計,他表示人們可能需要使用六個單字長的口令短語--很快開始變得很笨拙,才能獲得與9個字符長的密碼同樣級別的熵(entropy)。最后,在不同網站上重復使用密碼的一部分意味著,攻擊者只要竊取了用戶名和密碼組合,就能夠通過逆向工程來破解邏輯。
因而,要加強密碼安全,最簡單、最省事的方法還是干脆把密碼記下來,不過最好采用高度安全的方式。漏洞信息提供商Secunia的首席安全官Thomas Kristensen在接受采訪時說:"你能做的最明智投入就是去外面買一只數字錢包,把密碼裝在里面。在不同的網站上重復使用密碼根本就是最糟糕的做法。看一下今年所有的網站泄密事件,就會發現存在帳戶資料丟失的風險;一旦你的密碼公之于眾,并與你的電子郵件地址聯系在一起,你可能直到有人竊取了東西,才知道密碼被人竊取。"
數字密碼錢包的另一個優點在于,軟件不但讓人們很容易保存密碼,還很容易創建一個高度隨機的強密碼。這樣一來,為訪問的每一個網站維護一個不同的密碼就輕而易舉。相應地,下一次黑客破解了索尼密碼數據庫,即使數據庫里面含有你的用戶名和密碼,黑客也無法在其他任何地方來破解這對組合。
然而,數字密碼錢包的確意味著要下載、安裝和使用另一個軟件。Kristensen說:"我知道,這有點討厭";10年來,他一直在使用名為KeePass的開源應用軟件。不過他表示,使用數字錢包完全是一個最佳做法。"它不是完美的解決方案,但是比重復使用密碼要安全得多。"
說到安全地存儲密碼的密碼管理軟件,現在有眾多選擇。比如說,英國電信集團(BT)的首席安全技術官 Bruce Schneier創建了PasswordSafe,這個易于使用的開源密碼數據庫面向Windows。這類軟件還有蘋果OS X版本(比如共享軟件PasswordWallet也可用于Windows環境)。另一個選擇是如上所述的KeePass,它不僅可以在這兩款操作系統上運行,還能在Linux上運行。
此外,許多密碼錢包會在你的電腦與移動設備之間同步密碼,這意味著你總是隨身攜帶著一份安全的、受密碼保護的密碼和個人身份識別號(PIN)代碼。(有必要提一下,人們選擇PIN的做法大概比選擇密碼的習慣還要糟糕。)
總結一下,不妨為每一個重要的網站創建一個獨特的、隨機的、很長的強密碼,以確保密碼安全性。然后,把這些密碼存放到數字保險箱,確保妥善保存了密碼。這么做的話,就不用害怕下一個LulzSec了。
原文鏈接:http://informationweek.com/news/tech-center/mobile-security/231000545?pgno=1
