刘晓雯
你是否认为自己的密码是原创的、独特的,不可能被别人猜到?如果你这样认为的话,那么你该冷静一下,再好好想想。其实,破解由字母组合而成的密码轻而易举,只是耗时长短而已。专家们认为,现在人们常使用的密码已经走入了“死胡同”。
你是黑客的最佳助手
2015年10月19日,美国中央情报局时任局长约翰·布伦南怒火中烧。他浏览着政策文件、秘密档案、通讯录以及妻子的个人信息,让他生气的并不是这些材料的内容,而是看到这些应当被保密的信息竟然被公开放在维基解密的网站上供人浏览。这是谁干的呢?毫无疑问,黑客。黑客们通过某种方式破解了布伦南的邮件账户。布伦南同大部分人一样,将用户名和密码当作打开虚拟网络账号的唯一通道,以为它们能够保障信息安全。事实证明,这些看起来有效的身份认证方式并没那么可靠。
你为某个账号设立密码会花多长时间?10秒钟?2秒钟?还是说你像三分之一的互联网用户一样,将各种账号的密码设置得完全一样?2015年7月,网站Ashley Madison被黑客攻破,3700万用户的信息被悉数公布出来,包括他们一些十分隐秘的私人信息,这些令人感到羞耻的记录成为人们茶余饭后的八卦谈资。被泄露信息的用户的生活和工作都受到了严重影响,有些人甚至难以承受压力而选择自杀。令人感到惊悚的是这么多用户的账号竟然一下子就被攻破了。该网站的用户同大部分网民一样,采用的密码非常简单。最常用的密码组合包括“123456”“password”(“密码”的英文)。据统计,98.8%的用户所用的密码总数还不到1万个。
为什么绝大部分人明知设置简单的密码不安全,但还是会选择使用简单的密码呢?因为我们很多时候把方便看得比抽象的安全更重要。毕竟,一个复杂的密码自己也很难记得住,别人无法登录自己的账号固然不错,可是自己也无法登录就很麻烦了。而且有些人如果有过一次忘记密码的情况,在重置密码的时候自然就会选择一个更简单也更容易记住的新密码。
黑客们的“暴力”破译
有时我们自认为将字母和数字组合的密码设计得比较复杂就安全了,可黑客们还是屡次得手。因为人们在设置密码的时候,思路大同小异,比如把字母O用数字0代替,加入符号或数字,这都是老把戏了。还有人喜欢用一些自己喜欢的歌词、艺术家名字、宠物名、足球运动员名字及其他们的队服号码来做密码。那些你觉得完美的无序组合,比如科幻小说里的代码“ncc1701”或“thx1138”等,也没有你想象中那么独特,其实很多人在用。黑客们只需要利用程序软件分析几十亿个密码组合,几乎就能够推测出所有人使用的密码。
如何快速分析并破解这几十亿个密码组合呢?这个过程由一种被称为“暴力破解攻击”的密码攻击软件完成,一台计算机每秒钟可以尝试80亿种密码组合。所以,用这种方式对付我们那些“小儿科”的密码简直轻而易举。
一些服务商设置了密码字符数的上限,这使得破解密码变得更加容易。名为Cyno Sure Prime的密码破解组织保持着世界最快密码破解纪录:他们能够用一个计算机集群以每秒钟3500亿密码的速率验证密码。这意味着使用超级计算机的话,5.5小时之内就可以试完所有8个字符以内的密码。而8个字符的密码是大部分服务商和公司所要求的密码字符数。破解了这个,基本上就等同于破解了所有的账号信息。
后知后觉的攻击
黑客来得如此迅速,悄无声息,而我们总是后知后觉,忽略了他们的存在。许多用户沉浸在虚假的安全感中,根本注意不到自己的账号已经被攻破,信息已经被盗取。据英国信息安全保护机构统计,四分之一的英国电脑可能会受到恶意软件的攻击,被网络犯罪分子利用,成为“僵尸电脑”。
德国议会的网络被认为是欧洲最安全的网络之一,然而,它也遭遇过奇耻大辱。2015年,德国议会的网络被黑客入侵,而系统在受到入侵6个月之后因发现可疑服务器才意识到自己被“黑”了。政府系统的网络尚且如此,个人用户就更容易给黑客留下可乘之机了。
即使密码并不像我们想象中那样能够有效保障我们的信息,但是我们仍然会长期坚持采用密码系统。因为更安全的替代方式需要额外的硬件,比如虹膜扫描仪,这太麻烦,而传统的密码系统便捷、成本低,对于普通用户来说更加实用。所以,从这个意义上来说,密码还会在我们身边持续存在着,没有走向终点。
从原则上来说,开锁匠能够打开的門,盗贼也能够打开,门锁能够带给我们的保护是有限的,但是我们仍旧会使用门锁。使用更复杂的门锁形态,充分利用好锁的功能,延长小偷撬锁的时间,就能够增加他们畏难放弃的概率。同样,不管传统密码多么不堪一击,我们仍然需要它,而设置更复杂的密码,至少可以降低被一些低级的攻击方式攻破的可能性。因此,无论如何,我们都应尽量地把网络密码设置得更复杂一些!