你知道吗?你有一个保守得不太好的秘密,而这个秘密足以彻底扰乱你的生活。这个秘密可能只是一串简单的数字——如果你比较粗心,这串数字只有6位,而如果你比较谨慎,这串数字可能是16位。这就是当你登录电脑、网站、电子邮箱或者网上银行时使用的账户密码。
密码令人很受伤
在网络时代初期,密码非常管用,因为那时我们需要保护的数据很少,最多就是电子邮箱。由于侵入私人账户没有太多的意义,真正的黑客都把目标锁定在大公司的信息系统。人们渐渐放松警惕,邮箱地址变成了一种通用的登录方式,几乎成为所有账号的用户名。现在,我们大多数人依然习惯通过邮箱地址登录网上各种各样的应用,处理银行业务、发微博、网上购物,甚至在网盘里储存自己的私密照片、重要文件和数据。最终,当黑客侵入个人账户的情况愈演愈烈后,人们才开始寻求更安全的密码保护,这也成为了很多网络公司吸引人们在其网站注册并储存信息的噱头。
然而,对于任何一个系统来说,最安全的并不意味着就是最好的。256位的16进制密码可以确保安全,但如果让你每次都输入这么繁琐的密码,你可能宁愿选择放弃登录自己的账户。为了让人们使用方便,安全性就必须大打折扣。于是,各大网络公司提出了折中的办法,建议人们把密码设计得更复杂一些,人们也以为只要密码足够长,里面即包含数字又包含字母,再加上标点符号,就万事大吉了。
事实并非如此。现在一台笔记本电脑的处理能力比10年前的一台高端工作站都强,破解一个长密码轻而易举。而且,新的黑客技术层出不穷,盗取账号密码犹如探囊取物。更重要的是,黑客可以完全不用密码直接攻击我们的账户。因此,不管密码设计得多长多复杂都是徒劳。近年来屡见不鲜的网站数据泄露事件就是最好的例证。
密码,防不胜防
《孙子兵法》有云:“知己知彼,百战不殆。”要想保证自己账户密码的安全,就先要了解黑客是怎样想办法获取电脑或者网络系统的账户密码的。
我们先从最简单的黑客技术说起:猜解密码。这是一个非常简单但又非常有效的手段。在互联网中,有大量的人在使用简单且容易被预测的密码。2011年,金山公司列出了国内外使用最多的弱安全性密码。在这份榜单中,排在前列的是“12345678”“123456”“password”等密码。有很多黑客工具都能够自动破解简单密码,而黑客所需要的仅仅是拥有网络连接,再加上一份密码清单,便可以通过不断尝试来破解密码了。
黑客另一个常用的手段则是利用用户的错误——密码重用,即重复使用相同的密码。用户在注册不同的网站时,为了便于记忆往往采用相同的用户名和密码,此时如果其中一个网站的信息泄露,则用户注册的所有网站的内容都将受到黑客的威胁。黑客们还会通过欺骗来获取用户的密码,最常用的技术就是网络钓鱼。钓鱼网站上显示的内容与银行等网站上的内容高度相似,然后得到收信人在此网站上输入的个人敏感信息,而这时受害者毫无警觉。黑客们更为狡诈的盗取密码的方式是使用恶意软件。它们藏身于用户的电脑中,恶意收集用户信息,并秘密地向其他人发送你的数据。
近年来,有一种新型的黑客攻击方法越来越受到关注,这就是重置客户密码。它利用了整个密码保护系统中最脆弱的环节——人的记忆力。复杂的密码容易被遗忘,任何基于密码的系统都需要一种机制来重置用户的账号密码。为了方便用户,这个重置密码的过程不能过于繁琐,黑客正是利用这个特点来窃取用户的账号和密码。常见的密码保护问题有:“我的老婆/老公叫什么?”“我是哪里人?”“我的小学在哪里?”等,如果这些问题的答案可以被搜集到,那么他就能够冒充真正的用户,谎称忘记密码,从而利用系统的密码保护功能,重新设置密码,侵入用户账户。即便上述的方法无法奏效,黑客也可以通过掌握的部分信息,比如身份证号码,向客服人员申诉,从而达到冒充真正用户,盗取账户密码的目的。
另外,软硬件的漏洞也是黑客攻击利用的重要手段。由于某些型号的无线路由器存在某个无需授权认证的特定功能页面,恶意攻击者访问该页面后,可引导路由器自动下载恶意代码,从而获得路由器的最高权限。借此,入侵者可以通过操控路由器来安装插件、木马病毒或者直接记录用户在网上的一举一动,获取qq密码、网上银行账号等都不在话下。
自己动手,保护密码
了解了黑客的作案手法,我们应该采取怎样的措施来保护自己的账号和密码呢?首先,我们需要避免犯以下4个错误。
1.避免密码重用,防止黑客获得你所有账号的权限。
2.避免用字典中的词作为你的密码,防止黑客轻易猜解密码。
3.避免使用变形的常用口令,比如“p455w@rd”(因类似“password”而便于记忆),其实流行的密码破解工具可以轻松地破解此类密码。
4.不要使用短的密码——无论是多么特殊的组合(如“h6!r$q”),你最好的防御就是使用尽可能长的密码。
其次,我们应该马上着手下面的5件事,它们能够让你的账号更难被黑客破解。
1.向安全问题提供假答案,比如“我的家乡在哪里?”,答案完全可以是“我吃过了!”。
2.创建一个名称与自己的用户名毫无关联的特殊邮件账户,仅用于执行密码恢复,防止黑客重置密码。
3.尽可能使用长的复杂的密码,而且要定期更换,以保证账户安全。
4.安全使用网络,及时清除上网痕迹,不要把秘密留在网络上,不要给不怀好意的人留下可乘之机。
5.及时安装系统安全补丁,有效防范黑客利用漏洞入侵系统。
本文来自《科学画报》