中國的網(wǎng)站安全的只有一半以下,北京振邦律師事務(wù)所合伙人王甫律師最近連續(xù)受到黑客攻擊���。他的郵箱密碼被盜�,導(dǎo)致新浪微博���、博客、信箱均無法登錄����。
王甫向北京市公安局報警,警方答復(fù)“因無任何財產(chǎn)損失而無法處理���,建議找網(wǎng)絡(luò)服務(wù)商”����。而網(wǎng)絡(luò)服務(wù)商則表示�����,因?yàn)楹诳统掷m(xù)攻擊王甫�,連累了他所在小區(qū)的其他用戶�,很多人都因?yàn)榈艟而不滿��。對于自己的遭遇�����,王甫說�����,“如果你不搬家或者不更換網(wǎng)絡(luò)服務(wù)商�����,這種問題很難解決�����!
在現(xiàn)代社會��,密碼充斥在人們的生活中�,翻開錢包���,打開電腦��,走進(jìn)工作場所��,信用卡���、手機(jī)��、網(wǎng)銀�����、郵箱�、保險柜�、電子門禁…… 別的不說�����,光一個手機(jī)中����,就有手機(jī)鎖定密碼、藍(lán)牙密碼����、飛信密碼����、通訊記錄查詢密碼等等��。然而���,如此高密度的密碼使用�,卻未必能保證我們的安全�����。
在新浪微博輸入關(guān)鍵詞“密碼被盜”����,可以找到55萬多條相關(guān)的結(jié)果。其中聲稱密碼被盜的既有一般用戶����,也不乏經(jīng)過認(rèn)證的各種職業(yè)人士,如演藝人員���、商人����、律師、作家�����、警察等等�����。
黑客猜10次能破解的密碼占1%
最理想的密碼設(shè)置應(yīng)該既容易記憶又不易被破解���,可人們在實(shí)際中往往更注重前者����,卻容易忽視后者��。但想象不到的是�����,圍繞著“密碼”�����,已經(jīng)形成了一個新興的產(chǎn)業(yè)��,有多少人在對別人的密碼虎視眈眈�!
曾經(jīng)有黑客從一個叫RockYou的社交游戲網(wǎng)站偷盜了3200萬個密碼,結(jié)果發(fā)現(xiàn):其中有36.5萬人使用的密碼是“123456”或“12345”����。根據(jù)密碼設(shè)置的可預(yù)見性,黑客編制了“常用密碼辭典”�����,這給那些試圖破解密碼的人提供了方便����。
因?yàn)楹茈y獲得足夠大的樣本,因此研究者難以準(zhǔn)確地描述人們選用密碼的不安全性���,究竟低到怎樣的一個程度����。像RockYou這樣被入侵的網(wǎng)站提供了較大的樣本�,但是使用這類信息進(jìn)行分析研究則存在著道德方面的問題。
最近�����,一篇提交給某電腦安全研討會的論文引起人們的注意,作者披露了一些過去不為人知的有關(guān)密碼的真相��。這個研討會是紐約的專業(yè)團(tuán)體“電子和電氣工程師協(xié)會”組織的�����。牛津大學(xué)的約瑟夫·邦努和互聯(lián)網(wǎng)公司雅虎合作����,得到了迄今為止最大的、包括7000萬個密碼的樣本�����。雖然樣本中的用戶都是匿名的�,但這項(xiàng)研究還是發(fā)現(xiàn)了一些很有意思的現(xiàn)象。比如�,年齡較大的用戶比年輕用戶的密碼安全度要高(似乎越是那些熟諳技術(shù)的年輕人,越不在意這些事)����;使用德語和韓語的用戶�,其設(shè)置密碼的安全度是所有用戶中最高的,而使用印尼語的用戶的密碼安全度最低。
但是最讓電腦安全研究者感興趣的還是對這一樣本的總評:盡管各個用戶組的情況有所不同�,但這7000萬用戶的密碼從總體上說仍然具有高度的可預(yù)測性,無論是對于整個樣本來說��,還是對于各個用戶組來說����,都可以編制出有效用于破解密碼的“詞典”。領(lǐng)導(dǎo)這一研究的約瑟夫·邦努坦率地說:“黑客猜測十次就可以破解的密碼�,大約占總樣本的1%����!边@在黑客看來,顯然是一個相當(dāng)“令人鼓舞”的結(jié)果���。
密碼和手機(jī)號綁定更安全
為了避免遭遇王甫律師那樣的無奈����,就要設(shè)置一個安全且便于記憶的密碼�����。然而便于記憶的密碼往往有規(guī)律可循�����,如自己或家人的生日、電話號碼�����,這些密碼都不安全���。要想安全���,就得沒有規(guī)律性,如一串散亂的數(shù)字�、字母、標(biāo)點(diǎn)符號組合��。然而這樣的密碼�����,別人是猜不到了�����,自己也不容易記住�����。
為了增加安全性和方便性�,用戶可以將自己的密碼進(jìn)行分級,如分為三級:將在11等通過非實(shí)名認(rèn)證的注冊賬號�����,設(shè)置一個安全性較低的密碼���,用一個密碼可以來往于各個網(wǎng)站之間����;為郵箱�、支付寶、銀行賬號設(shè)置比較復(fù)雜的密碼��,密碼可以由一句中文或者英文的每個字的首字母構(gòu)成��,配以標(biāo)點(diǎn)符號����。為了更安全一些,還可以將網(wǎng)上的賬戶密碼和隨身攜帶的手機(jī)進(jìn)行綁定�����,通過手機(jī)綁定,密碼被修改或者忘記����,都可以通過手機(jī)短信找回。
用戶上網(wǎng)時也應(yīng)該注意識別網(wǎng)站的安全級別����,可以在瀏覽器上安裝一個插件,每訪問一個網(wǎng)站就會提示該網(wǎng)站的安全級別����。訪問安全級別低的網(wǎng)站就有可能被木馬入侵,這樣無論多安全的密碼��,都會通過木馬泄露給黑客���。
還有一種替代方法是使用多詞密碼��,又稱為“聯(lián)詞口令”�。在密碼中使用幾個詞而不只是一個詞�����,使黑客必須猜測更多的字母。但前提是�,選取的聯(lián)詞不會被熟練使用某種“聯(lián)詞字典”的人所破解。
邦努和他的同事曾經(jīng)分析了網(wǎng)購商亞馬遜所使用的聯(lián)詞口令系統(tǒng)��,亞馬遜在2009年10月到2012年2月容許它的美國用戶使用這個系統(tǒng)�。他們發(fā)現(xiàn)��,雖然聯(lián)詞口令比密碼的安全度確實(shí)高�,但并不像預(yù)期的那樣理想。由四五個隨機(jī)選取的詞組成的口令相當(dāng)安全����,但是要記住它,比記住幾個隨機(jī)選取的密碼還難���。這又一次說明��,人們對“容易記憶”的需要總是使黑客有機(jī)可乘�。
在中國科學(xué)院信息安全國家重點(diǎn)實(shí)驗(yàn)室進(jìn)行研究工作的張令臣表示�����,“密碼其實(shí)應(yīng)該稱為口令���,它是一種鑒別用戶身份的簡單易行的手段��。在一些并不太重要或者安全要求不高的場合�,口令就足以勝任了。比如在某個11注冊一個賬號��,只是為了發(fā)表一些看法�����,看帖回帖�,就算丟失或被人盜用賬號也無關(guān)緊要。而在安全需求更高的場合����,可以聯(lián)合其他辦法提高安全性,比如綁定手機(jī)號��,登錄時使用手機(jī)驗(yàn)證碼��,再如使用USB Key����、電子口令卡、動態(tài)口令卡等����。 ”
如何應(yīng)對“盜碼三板斧”
目前���,惡意盜取密碼的方式主要有以下幾種。暴力破解���,黑客們將一些常用的數(shù)字組合如12345����,以及常見的單詞組合匯編成一本密碼詞典���,再通過程序?qū)~戶的密碼進(jìn)行猜測。登錄網(wǎng)站時�,登錄密碼的頁面會提示使用驗(yàn)證碼,就是為了確認(rèn)是自然人在登錄網(wǎng)站���,其目的就是避免這種情況的發(fā)生���。第二種方式是通過木馬盜取密碼,木馬利用計算機(jī)程序漏洞侵入用戶電腦中����,潛伏下來���,記錄賬號密碼,再將這些信息傳輸給木馬的“主人”���。第三種方式是通過“網(wǎng)絡(luò)釣魚”來盜取密碼���,釣魚者向用戶發(fā)送帶有欺詐性的電子郵件,通知其更改密碼����,而用戶更改密碼的過程就是向“釣魚人”告訴密碼的過程。
一個明顯有效的防范措施��,是在密碼輸入一定次數(shù)仍不正確后��,禁止登錄網(wǎng)站���,就像自動取款機(jī)實(shí)行的辦法一樣�。雖然一些超大網(wǎng)站如谷歌和微軟等采取了這樣的措施����,但很多網(wǎng)站并沒有這樣做。邦努和他的同事在2010年調(diào)查了150個大型網(wǎng)站,其中有126個沒有猜測次數(shù)的限制����。
對于有些網(wǎng)站來說,因?yàn)闆]有什么特別有價值的東西如信用卡信息需要保護(hù)�����,密碼安全可能不是一個十分重要的問題�。但是對密碼安全的寬松態(tài)度,會給那些安全性能好的網(wǎng)站也帶來問題����,因?yàn)槿藗兺ǔT谌舾刹煌木W(wǎng)站使用同樣的密碼。
張令臣認(rèn)為�,網(wǎng)站應(yīng)該在密碼安全方面承擔(dān)更大的責(zé)任�,“不可否認(rèn),網(wǎng)民的安全意識參差不齊�。但是就算網(wǎng)民深知如何設(shè)置安全的口令,很多人也會棄之不用�����,因?yàn)槭褂脮r太麻煩��。我認(rèn)為,保證安全性是Web應(yīng)用提供者應(yīng)該承擔(dān)的��,而不應(yīng)該假設(shè)網(wǎng)民愿意使用復(fù)雜的口令����。 ”
360網(wǎng)站的一份報告顯示,2011年我國網(wǎng)絡(luò)安全水平總體偏低���,國內(nèi)存在高危漏洞的網(wǎng)站約占36%�����,中危漏洞的網(wǎng)站約占16%��,而安全的網(wǎng)站只有48%���。張令臣說,“Web應(yīng)用的提供者有技術(shù)��,也有資源��,而且處于核心��。讓W(xué)eb站點(diǎn)保證高安全性�,肯定比讓成千上萬的網(wǎng)民提高安全意識要更容易些�。 ”
網(wǎng)絡(luò)安全的問題可能永遠(yuǎn)沒有最終的答案�����,因?yàn)槿魏伟踩胧┒际恰盁┤说摹�。?jīng)常坐飛機(jī)的人知道,人們希望安全����,但又希望什么事都簡單易行,這兩者總是沖突的�。只要這個沖突存在,安全就不是絕對的�����。
來源:《遼沈晚報》
標(biāo)簽Tags:
中國
網(wǎng)站
安全
關(guān)鍵字:
網(wǎng)站安全
|
