德勤中国：2013年九成账户密码不再安全

德勤科技、传媒、电信行业卓越中心

分析机构德勤认为，由于黑客攻击技术的提升以及用户保护意识的薄弱，个人电脑和移动终端上相关应用账号密码越来越不安全。

德勤预测，2013年，超过90%的密码都不再安全。密码的保护不足可能会导致数十亿美元的损失、消费者对互联网交易信心的下降、受到攻击的公司声誉受损。用户的密码设置习惯和多个账户共用相同的密码等因素使得黑客破解密码的难度大大下降。手机等移动设备上的密码将更容易被破解。

2013年开始，更多公司将开始采取多重信息认证的方式来保障用户的信息安全。企业应当尽最大可能保护密码，比如通过随机加密，密码筛选系统和多重信息验证等方式，建立更加完备的密码安全政策。

密码不再安全

随着受密码保护的信息价值不断增加，它们会吸引更多黑客。一些网站很可能会采取额外的信息认证来保障用户的信息安全。

长久以来，一个8位数的，包括大小写字母，至少一个数字，和一个符号的密码被认为是很安全的。虽然不是绝对的安全，但是即便对于一些价值较高的交易，比如银行和电子商务，这样的密码都足够安全了。

这种密码究竟有多安全？这八个字符是标准键盘上的94个字符组合而来，也就是说，每个密码被随机猜中的概率是6100万亿分之一。一台2011年版的比较快的电脑需要大约一年的时间才能尝试完每种组合，即便是破解信用卡也不值得花费这么长的时间。

然而，受人们行为习惯和技术进化的综合影响，曾经安全的密码开始变得脆弱：7位以上的数对于人们的短期记忆来说已经极具挑战。长期记忆来说，普通人只能记住5位数，如果加上字母、大小写、和不常用的符号，记住包含多个字符的密码会更具挑战。

因此，大家开始用各种办法来确保能够更容易的记住密码。例如，用户的密码基本都会和常用的单词或者名字有关。

最近一项对600万个用户实际使用的密码的调查显示，10000个最常用的密码可以进入其中98.1%的账户。非随机密码使得黑客能够创建一个“常用密码字典”，里面包含常见密码词汇、短语、及衍生词，这样会使得破解密码的难度下降百万倍。

但非随机密码的存在还不是最大的问题，最大的问题在于密码的重复使用。据调查，每个互联网用户平均有26个账户，但只有5个不同密码。由于密码的重复使用，在一些安全度比较低的游戏或者社交网站上的密码就足以暴露个人银行密码。这样的事情在过去的两年频频发生，以至于现在互联网各种网站上成千上万的密码都可以被破解。

以上描述的这些破解方法是比较高明的，但暴力破解同样有效。目前，市场用于暴力破解密码的硬件在不断改进。密码破解专用机器装有虚拟化软件和高性能的图形处理器，可以在5.5小时内破解一个8位数的密码。

既然存在如此多的潜在威胁，我们期待用户能够采用更长更强的密码。但实际上却很难做到，因为在移动设备上输入较长密码非常困难。普遍而言，移动设备上的密码比个人电脑上密码弱。在标准键盘上，94个字符很容易就能被输出，但在移动设备上，仅仅是找“#”这个字符也许就需要翻阅好几个页面。用户在电脑上输入一个较强的十位数密码需要4~5秒，但是在键盘手机上需要7~10秒，在触屏手机上则要7~30秒。四分之一的用户表示为了节省时间，他们宁愿选择安全系数较低的密码。

中国密码安全隐患令人堪忧

中国密码泄露的威胁近年来开始不断升级。2011年12月，CSDN的安全系统遭到黑客攻击，成为中国互联网最大规模的用户信息泄漏事件。首先是600多万用户的登录名、密码及邮箱遭到泄露；继而，中国最大的社区论坛天涯网站4000万用户隐私遭到黑客泄露；随后，支付宝和一些银行的用户信息也被曝已经泄露。本次事件为中国密码安全敲响警钟。

CSDN事件凸显出中国用户对密码安全的防护意识极为薄弱。此次CSDN泄露的642万个数据中，“123456789”是用户最常用的密码，用户数达到了23.5万，占所有用户的3.66%；“12345678”是第二常用密码，用户数达21.2万位,占3.31%；“11111111”排名第三，用户数达7.6万，占1.19%。也就是说，即便是没有任何经验的菜鸟型黑客，用这三个常用密码进行三次简单的尝试，就能进入8%的账户。

此外，中国网站对于密码安全性的防范低于国际网站。2012年，中国软件评测中心发布的网站用户口令处理的安全性测评报告显示：在其测评的100家中国网站中，仅有9家网站采取了充分的安全措施对用户口令做处理；有56家网站未采取任何安全措施，使得用户口令直接暴露在传输网络以及服务器端；甚至一些直接涉及用户经济利益的电子商务网站也疏于用户口令的安全管理。

一方面，无论是中国互联网网站还是互联网用户都对密码安全疏于防范；另一方面，中国黑客阵营势力强大。未来中国密码安全问题有可能会成为世界重灾区。对于中国用户来说，尽早采取多重信息认证等方式提升密码安全等级、提高密码安全意识迫在眉睫。

移动设备成黑客新宠

新兴的移动设备允许人们在任何时间、地点开展工作，包括收发电子邮件、编辑文档、互相联络以及安排议程等。这些移动设备同时也被用于登陆社交媒体和云存储。这种用个人设备读取商业数据的行为使得移动设备成为了黑客的新宠。

在德勤调查的那些员工数量超过一万人的公司中，64%的公司都表示他们会针对自带设备和移动办公设备出台相关规定。然而，在所有受访的公司中，真正出台这类政策的还不到52%，而且10%的公司根本未重视这类风险。

如果把自带设备与云储存这两者结合起来，也就是说当员工使用自己的设备进入云端传输数据时，风险就会成倍增加。在未来，此类风险会随着移动技术的发展和云的普遍应用不断增长。（本文选编自《德勤中国2013科技、传媒、电信行业十大趋势预测》报告）