中國(guó)的網(wǎng)站安全的只有一半以下,北京振邦律師事務(wù)所合伙人王甫律師最近連續(xù)受到黑客攻擊��。他的郵箱密碼被盜����,導(dǎo)致新浪微博、博客���、信箱均無(wú)法登錄�����。
王甫向北京市公安局報(bào)警,警方答復(fù)“因無(wú)任何財(cái)產(chǎn)損失而無(wú)法處理����,建議找網(wǎng)絡(luò)服務(wù)商”。而網(wǎng)絡(luò)服務(wù)商則表示����,因?yàn)楹诳统掷m(xù)攻擊王甫�,連累了他所在小區(qū)的其他用戶(hù)��,很多人都因?yàn)榈艟(xiàn)而不滿(mǎn)����。對(duì)于自己的遭遇,王甫說(shuō)�����,“如果你不搬家或者不更換網(wǎng)絡(luò)服務(wù)商�,這種問(wèn)題很難解決�����!
在現(xiàn)代社會(huì)�����,密碼充斥在人們的生活中�,翻開(kāi)錢(qián)包,打開(kāi)電腦�,走進(jìn)工作場(chǎng)所��,信用卡�����、手機(jī)��、網(wǎng)銀��、郵箱�、保險(xiǎn)柜��、電子門(mén)禁…… 別的不說(shuō)�����,光一個(gè)手機(jī)中���,就有手機(jī)鎖定密碼�����、藍(lán)牙密碼、飛信密碼��、通訊記錄查詢(xún)密碼等等。然而����,如此高密度的密碼使用,卻未必能保證我們的安全��。
在新浪微博輸入關(guān)鍵詞“密碼被盜”���,可以找到55萬(wàn)多條相關(guān)的結(jié)果��。其中聲稱(chēng)密碼被盜的既有一般用戶(hù)����,也不乏經(jīng)過(guò)認(rèn)證的各種職業(yè)人士�����,如演藝人員�、商人、律師�����、作家����、警察等等�。
黑客猜10次能破解的密碼占1%
最理想的密碼設(shè)置應(yīng)該既容易記憶又不易被破解���,可人們?cè)趯?shí)際中往往更注重前者��,卻容易忽視后者����。但想象不到的是���,圍繞著“密碼”��,已經(jīng)形成了一個(gè)新興的產(chǎn)業(yè)����,有多少人在對(duì)別人的密碼虎視眈眈���!
曾經(jīng)有黑客從一個(gè)叫RockYou的社交游戲網(wǎng)站偷盜了3200萬(wàn)個(gè)密碼�����,結(jié)果發(fā)現(xiàn):其中有36.5萬(wàn)人使用的密碼是“123456”或“12345”����。根據(jù)密碼設(shè)置的可預(yù)見(jiàn)性�����,黑客編制了“常用密碼辭典”�����,這給那些試圖破解密碼的人提供了方便�����。
因?yàn)楹茈y獲得足夠大的樣本�,因此研究者難以準(zhǔn)確地描述人們選用密碼的不安全性,究竟低到怎樣的一個(gè)程度����。像RockYou這樣被入侵的網(wǎng)站提供了較大的樣本,但是使用這類(lèi)信息進(jìn)行分析研究則存在著道德方面的問(wèn)題�。
最近,一篇提交給某電腦安全研討會(huì)的論文引起人們的注意����,作者披露了一些過(guò)去不為人知的有關(guān)密碼的真相��。這個(gè)研討會(huì)是紐約的專(zhuān)業(yè)團(tuán)體“電子和電氣工程師協(xié)會(huì)”組織的�����。牛津大學(xué)的約瑟夫·邦努和互聯(lián)網(wǎng)公司雅虎合作���,得到了迄今為止最大的、包括7000萬(wàn)個(gè)密碼的樣本�����。雖然樣本中的用戶(hù)都是匿名的�,但這項(xiàng)研究還是發(fā)現(xiàn)了一些很有意思的現(xiàn)象。比如��,年齡較大的用戶(hù)比年輕用戶(hù)的密碼安全度要高(似乎越是那些熟諳技術(shù)的年輕人��,越不在意這些事)�����;使用德語(yǔ)和韓語(yǔ)的用戶(hù)��,其設(shè)置密碼的安全度是所有用戶(hù)中最高的,而使用印尼語(yǔ)的用戶(hù)的密碼安全度最低�。
但是最讓電腦安全研究者感興趣的還是對(duì)這一樣本的總評(píng):盡管各個(gè)用戶(hù)組的情況有所不同,但這7000萬(wàn)用戶(hù)的密碼從總體上說(shuō)仍然具有高度的可預(yù)測(cè)性����,無(wú)論是對(duì)于整個(gè)樣本來(lái)說(shuō)���,還是對(duì)于各個(gè)用戶(hù)組來(lái)說(shuō)����,都可以編制出有效用于破解密碼的“詞典”��。領(lǐng)導(dǎo)這一研究的約瑟夫·邦努坦率地說(shuō):“黑客猜測(cè)十次就可以破解的密碼�����,大約占總樣本的1%��������!边@在黑客看來(lái)����,顯然是一個(gè)相當(dāng)“令人鼓舞”的結(jié)果。
密碼和手機(jī)號(hào)綁定更安全
為了避免遭遇王甫律師那樣的無(wú)奈����,就要設(shè)置一個(gè)安全且便于記憶的密碼。然而便于記憶的密碼往往有規(guī)律可循��,如自己或家人的生日��、電話(huà)號(hào)碼���,這些密碼都不安全�。要想安全�,就得沒(méi)有規(guī)律性,如一串散亂的數(shù)字���、字母�、標(biāo)點(diǎn)符號(hào)組合����。然而這樣的密碼,別人是猜不到了����,自己也不容易記住��。
為了增加安全性和方便性��,用戶(hù)可以將自己的密碼進(jìn)行分級(jí)����,如分為三級(jí):將在11等通過(guò)非實(shí)名認(rèn)證的注冊(cè)賬號(hào)�,設(shè)置一個(gè)安全性較低的密碼���,用一個(gè)密碼可以來(lái)往于各個(gè)網(wǎng)站之間�����;為郵箱�����、支付寶�、銀行賬號(hào)設(shè)置比較復(fù)雜的密碼�,密碼可以由一句中文或者英文的每個(gè)字的首字母構(gòu)成,配以標(biāo)點(diǎn)符號(hào)���。為了更安全一些�,還可以將網(wǎng)上的賬戶(hù)密碼和隨身攜帶的手機(jī)進(jìn)行綁定,通過(guò)手機(jī)綁定�,密碼被修改或者忘記,都可以通過(guò)手機(jī)短信找回�����。
用戶(hù)上網(wǎng)時(shí)也應(yīng)該注意識(shí)別網(wǎng)站的安全級(jí)別�,可以在瀏覽器上安裝一個(gè)插件,每訪問(wèn)一個(gè)網(wǎng)站就會(huì)提示該網(wǎng)站的安全級(jí)別��。訪問(wèn)安全級(jí)別低的網(wǎng)站就有可能被木馬入侵����,這樣無(wú)論多安全的密碼,都會(huì)通過(guò)木馬泄露給黑客����。
還有一種替代方法是使用多詞密碼,又稱(chēng)為“聯(lián)詞口令”���。在密碼中使用幾個(gè)詞而不只是一個(gè)詞���,使黑客必須猜測(cè)更多的字母���。但前提是,選取的聯(lián)詞不會(huì)被熟練使用某種“聯(lián)詞字典”的人所破解���。
邦努和他的同事曾經(jīng)分析了網(wǎng)購(gòu)商亞馬遜所使用的聯(lián)詞口令系統(tǒng)���,亞馬遜在2009年10月到2012年2月容許它的美國(guó)用戶(hù)使用這個(gè)系統(tǒng)。他們發(fā)現(xiàn)����,雖然聯(lián)詞口令比密碼的安全度確實(shí)高,但并不像預(yù)期的那樣理想����。由四五個(gè)隨機(jī)選取的詞組成的口令相當(dāng)安全�,但是要記住它,比記住幾個(gè)隨機(jī)選取的密碼還難���。這又一次說(shuō)明�����,人們對(duì)“容易記憶”的需要總是使黑客有機(jī)可乘��。
在中國(guó)科學(xué)院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室進(jìn)行研究工作的張令臣表示�,“密碼其實(shí)應(yīng)該稱(chēng)為口令,它是一種鑒別用戶(hù)身份的簡(jiǎn)單易行的手段����。在一些并不太重要或者安全要求不高的場(chǎng)合,口令就足以勝任了����。比如在某個(gè)11注冊(cè)一個(gè)賬號(hào),只是為了發(fā)表一些看法����,看帖回帖,就算丟失或被人盜用賬號(hào)也無(wú)關(guān)緊要�。而在安全需求更高的場(chǎng)合,可以聯(lián)合其他辦法提高安全性����,比如綁定手機(jī)號(hào),登錄時(shí)使用手機(jī)驗(yàn)證碼���,再如使用USB Key��、電子口令卡����、動(dòng)態(tài)口令卡等。 ”
如何應(yīng)對(duì)“盜碼三板斧”
目前���,惡意盜取密碼的方式主要有以下幾種����。暴力破解���,黑客們將一些常用的數(shù)字組合如12345�����,以及常見(jiàn)的單詞組合匯編成一本密碼詞典�����,再通過(guò)程序?qū)~戶(hù)的密碼進(jìn)行猜測(cè)。登錄網(wǎng)站時(shí)�,登錄密碼的頁(yè)面會(huì)提示使用驗(yàn)證碼,就是為了確認(rèn)是自然人在登錄網(wǎng)站���,其目的就是避免這種情況的發(fā)生���。第二種方式是通過(guò)木馬盜取密碼��,木馬利用計(jì)算機(jī)程序漏洞侵入用戶(hù)電腦中�,潛伏下來(lái)���,記錄賬號(hào)密碼����,再將這些信息傳輸給木馬的“主人”�。第三種方式是通過(guò)“網(wǎng)絡(luò)釣魚(yú)”來(lái)盜取密碼,釣魚(yú)者向用戶(hù)發(fā)送帶有欺詐性的電子郵件��,通知其更改密碼���,而用戶(hù)更改密碼的過(guò)程就是向“釣魚(yú)人”告訴密碼的過(guò)程��。
一個(gè)明顯有效的防范措施�����,是在密碼輸入一定次數(shù)仍不正確后��,禁止登錄網(wǎng)站�,就像自動(dòng)取款機(jī)實(shí)行的辦法一樣。雖然一些超大網(wǎng)站如谷歌和微軟等采取了這樣的措施���,但很多網(wǎng)站并沒(méi)有這樣做��。邦努和他的同事在2010年調(diào)查了150個(gè)大型網(wǎng)站����,其中有126個(gè)沒(méi)有猜測(cè)次數(shù)的限制��。
對(duì)于有些網(wǎng)站來(lái)說(shuō)���,因?yàn)闆](méi)有什么特別有價(jià)值的東西如信用卡信息需要保護(hù)�,密碼安全可能不是一個(gè)十分重要的問(wèn)題�����。但是對(duì)密碼安全的寬松態(tài)度��,會(huì)給那些安全性能好的網(wǎng)站也帶來(lái)問(wèn)題��,因?yàn)槿藗兺ǔT谌舾刹煌木W(wǎng)站使用同樣的密碼���。
張令臣認(rèn)為�,網(wǎng)站應(yīng)該在密碼安全方面承擔(dān)更大的責(zé)任���,“不可否認(rèn)�,網(wǎng)民的安全意識(shí)參差不齊�。但是就算網(wǎng)民深知如何設(shè)置安全的口令,很多人也會(huì)棄之不用���,因?yàn)槭褂脮r(shí)太麻煩��。我認(rèn)為�,保證安全性是Web應(yīng)用提供者應(yīng)該承擔(dān)的���,而不應(yīng)該假設(shè)網(wǎng)民愿意使用復(fù)雜的口令��。 ”
360網(wǎng)站的一份報(bào)告顯示�,2011年我國(guó)網(wǎng)絡(luò)安全水平總體偏低����,國(guó)內(nèi)存在高危漏洞的網(wǎng)站約占36%,中危漏洞的網(wǎng)站約占16%�����,而安全的網(wǎng)站只有48%。張令臣說(shuō)�,“Web應(yīng)用的提供者有技術(shù),也有資源���,而且處于核心��。讓W(xué)eb站點(diǎn)保證高安全性�����,肯定比讓成千上萬(wàn)的網(wǎng)民提高安全意識(shí)要更容易些��。 ”
網(wǎng)絡(luò)安全的問(wèn)題可能永遠(yuǎn)沒(méi)有最終的答案����,因?yàn)槿魏伟踩胧┒际恰盁┤说摹�。?jīng)常坐飛機(jī)的人知道,人們希望安全���,但又希望什么事都簡(jiǎn)單易行��,這兩者總是沖突的��。只要這個(gè)沖突存在���,安全就不是絕對(duì)的。
來(lái)源:《遼沈晚報(bào)》
標(biāo)簽Tags:
中國(guó)
網(wǎng)站
安全
關(guān)鍵字:
網(wǎng)站安全
|
