聊聊密码方面的那些事儿

2014-03-11 02:41夏宏利
计算机与网络 2014年21期

■夏宏利

防火墙

聊聊密码方面的那些事儿

■夏宏利

对于密码的由来,一度被认为最早源于古希腊,用于为战争中信息交换提供的保密措施。事实上在公元前3000年前古埃及就出现了具有密码功能的符号。当时在墓碑上的象形文字已经开始用特殊加密过的内容表示。直到今天,密码几乎和每个人都有着紧密的联系,一个人每天不知道要输入多少个密码。而随着科技的发展,代替密码的方法也越来越多,我们将围绕密码安全介绍一些和密码相关的趣事。

为什么总会出现密码安全问题?

这是一个看似简单但却很难回答的问题。简单来讲首先是密码本身没有价值,而是密码保护的内容具备价值。其次是密码具有非常强的通用性,谁拿到密码基本就可以获得附加价值。最后是——我们的密码普遍太弱了。

近日闹的沸沸扬扬的苹果公司icloud帐户信息泄露一事,外界普遍给出的结果是苹果本身的系统漏洞,而苹果公司与执法机关展开相关合作后声明:“我们并未发现一例是由于icloud或findmyiphone系统遭到了入侵所致。黑客对某些名人账号进行了专门针对其用户名、密码等的攻击,而这些攻击在互联网上十分常见。”自此,劳伦斯这场从《饥饿游戏》向《饥渴游戏》的转型已经无法找到最后的吐槽对象,个人也完成了一次华丽转身。

那么问题来了,安全密码哪样强?先给各位看官看几个有趣的例子。

某年某月某日,国内某著名社区几百万高精尖技术从业者的用户数据库被洗劫,账号密码一时间告示天下。而在这里面有很多匪夷所思的密码经过“二度破解”,让我们了解到人民群众的智慧才是最让人汗颜的。

前半部分是密码,括号内为密码注释,排名不分先后:

ppnn13%dkstfeb.1st(源自“娉娉袅袅十三余,豆蔻梢头二月初”)

flzx3000cy4yhx9day(飞流直下三千尺,疑似银河下九天)

hanshansi.location()!∈[gusucity](姑苏城外寒山寺)

hold fish:palm(鱼和熊掌不可兼得)

for_$n(@rensheng)_$n+="die"(人生自古谁无死,典型的技术派)

山巅一寺一壶酒(圆周率)

0oo00ooo0o0o0oo0(写出来也难抄)

nishengri(如果别人问就放心大胆的告诉别人,一样答不对)

⋆⋆⋆⋆⋆⋆⋆(很好的伪装)

nicai(有被揍风险)

meimima(早晚被揍)

如何提升密码安全?

这绝对是一个老生常谈的话题,但这里还是要谈一下,大家可以按照以下规则及时修改自己的密码。

1.长度:8位以上(含8位),目前很多场合下,要求用户密码的长度要在8位以上;

2.混合度:要求包含大小写数字符号等;

3.减少弱口令关键词:如生日、名字、常见单词等。

如果我们采用的密码是弱口令,各位可以想想在10年前就已经大行其道的溯雪会给你一个完美的combo。其实刚才列举的一些密码算是很安全的,但关键问题是:如果按照这种方式设置密码,必然会大大提升记忆难度,所以才会有那些神奇的注释来帮助用户记住密码。

在几年前,因为某些原因需要一个朋友的密码,他发给我的是1qaz0p;/。当时本人就佩服的五体投地,这密码够长、够复杂,该有的都有了,但也够难记。但当输入之后恍然大悟,原来是按下大写键输入键盘1开头的纵向四个按键内容,然后关闭大写键输入0开头的纵向四个按键内容。这种又复杂又好记的密码真真是不多了。

密码未来会被取代?

密码本身有很多天生的缺陷,比如不具有独占性、难以管理记忆、表现形式单一等。所以目前随着信息技术的发展,越来越多新的验证方式出现,逐步替代了密码在一些场景中的应用,最典型的例子就是苹果的touchid指纹识别,在用户体验上是一次巨大的提升,如今苹果最新发布的平板产品也加入了touchid指纹识别功能,进一步证明了该项业务的成功。

此外,人脸识别(已成熟应用在门禁、软件等领域)、声纹识别(信息、金融领域)、指纹识别(广泛的领域应用)都在快速发展。新的验证机制带有极强的生物属性,难以复制、验证方便,是未来信息安全发展verisign的方向。而基于密码另一形态的数字证书也发展迅猛,在通讯、金融领域也已广泛应用。

带有生物信息的密码在具有更可靠的保证。世界著名黑客凯文·米特尼克当初为了获取某个口令,曾电话谎称自己是xx的工作人员,结果对方直接将密码和盘托出。美剧《越狱》中,主角麦克也不止一次通过“诈骗”方式获得重要信息,可见在这种陷阱面前,单纯的密码复杂已经没有任何意义,但生物密码则可以最大限度避免这些问题。看起来网络威胁风声鹤唳,今天明星泄个私照,明天老百姓银行账户被盗,让很多用户心有余悸,在提示密码错误时紧张万分。

其实现实情况远没有那么糟,对于密码管理,建议大家采取分级方式:

1.涉及到个人财产信息方面,尽量使用外置数字证书;

2.重要个人信息保护,采取双口令验证,最好的方法是绑定手机,安全系数大大提升;

3.诸如日常使用的邮箱、im等密码,根据上文采取强口令,并设置全面的密码找回信息;

4.临时需要设置密码,请保持一个通用口令,并与以上密码保持零相关性,这样以后再用也不至于想不到。

从未来发展的趋势看,会有越来越多的场景通过人体的面容、指纹、声纹等方式进行验证,所以我们一定要相信,需要单纯密码的场合会越来越少,重要的是从现在开始,保养好我们的嗓子、手指和脸才是王道。