你知道吗?你有一个保守得不太好的秘密,而这个秘密足以彻底打乱你现在的生活。这个秘密可能只是一串简单的数字——这就是当你登录电脑、网站、电子邮箱或者网上银行时使用的密码。
信息时代,密码令人很受伤
自从信息时代拉开帷幕,我们就想当然地认为精心设计的密码可以保护我们的隐私,保护我们的电子邮箱、银行账号、网上相册的使用安全。然而,近年来密码泄露事件时有发生。如何保护自己的密码不被黑客盗用,已经成为令众多网民苦恼的问题。
第一台使用密码的计算机是美国麻省理工学院在1961年开发的大型分时系统CTSS。为了限制用户使用的时间,CTSS设置了一个登录程序。1962年,一个名叫艾伦·斯科尔的博士生为了获得更多的使用时间,用一个简单的手段骗过了登录系统。他找到了包含所有用户名和密码的文件,然后把它们打印下来,这样就可以利用这些用户名和密码无限制地上机了。
在信息时代初期,密码非常管用,因为那时我们需要保护的数据很少,最多就是电子邮箱。由于侵入私人账户没有太大的意义,真正的黑客都把目标锁定在大公司的信息系统。人们渐渐放松警惕,邮箱地址于是变成了一种通用的登录方式,成为几乎所有账号的用户名。现在,我们大多数人依然习惯通过邮箱地址登录网上各种各样的应用,处理银行业务、发微博、进行网上购物,甚至在网盘里储存自己的私密照片和重要文件。当黑客入侵的情况愈演愈烈后,人们才开始寻求更安全的密码保护方式,安全也成为很多网络公司吸引人们在其网站注册并储存信息的噱头。
然而,对于任何一个系统来说,最安全的并不意味着就是最好的。256位的16进制密码或许可以保证安全,但如果让你每次都输入这么繁琐的密码,你可能宁愿放弃登录。于是,各大网络公司提出了折中的办法,建议人们把密码内容设置得更复杂一些。人们也以为只要密码足够长,里面既包含数字又包含字母,再加上标点符号,就万事大吉了。
事实并非如此。现在一台笔记本电脑的处理能力比10年前的一台高端工作站都强,破解一个长密码轻而易举。而且,黑客的新技术层出不穷,盗取密码犹如探囊取物。更重要的是,黑客可以完全不用密码直接攻击我们的账户。因此,从某种意义上来说,不管密码设计得多长多复杂都是徒劳,近年来屡见不鲜的网站数据泄露事件就是最好的例证。
密码面临重重安全威胁
《孙子兵法》有云:“知己知彼,百战不殆。”要想保证自己账户的安全,就先要了解黑客是怎样想办法获取电脑或者网络系统的密码的。
我们先从最简单的黑客技术说起:猜解密码。这是一个非常简单却又非常有效的手段。在互联网中,有大量的人在使用简单且容易猜到的密码。2011年,金山公司列出了国内外使用最多的弱安全性密码。在这份榜单中,排在前列的是“12345678”“123456”“password”。很多黑客工具都能够自动破解简单密码,而黑客所需要的仅仅是拥有网络连接,再加上一份密码清单,他们便可以通过不断尝试来破解密码了。
黑客另一个常用的手段是利用用户的错误——密码重用,即重复使用相同的密码。用户在注册不同的网站时,为了便于记忆,往往采用相同的用户名和密码。此时,如果其中一个网站的账户信息泄露,则用户注册的其他账户都将受到黑客的威胁。黑客们还会通过欺骗来获取用户的密码,最常用的技术就是网络钓鱼。钓鱼网站上显示的内容与银行等官网上的内容高度相似,使用者在钓鱼网站上输入个人敏感信息,黑客截获这些信息,而这时使用者毫无察觉。更为高级的盗取密码的方式是使用恶意软件:这些软件藏身于用户的电脑中,恶意收集用户信息,并秘密地向其他人发送用户的数据。
近年来,一种新型的黑客攻击方法越来越受到关注,这就是重置用户密码。它利用了整个密码保护系统中最脆弱的环节——人的记忆力。复杂的密码容易被遗忘,于是人们需要一种机制来重置用户密码。为了方便用户,这个重置密码的过程不能过于繁琐,黑客正是利用这个特点来窃取用户密码。常见的密码保护问题有:“我的老婆/老公叫什么?”“我是哪里人?”“我的小学在哪里?”等。如果这些问题的答案可以被搜集到,那么黑客就能够冒充真正的用户,谎称自己忘记密码,从而利用系统的密码保护功能,重新设置密码,侵入用户账户。即便上述方法无法奏效,黑客也可以通过掌握的部分信息,比如身份证号码,向客服人员申诉,从而达到冒充真正用户、盗取密码的目的。
另外,软硬件的漏洞也是黑客攻击利用的重要对象。由于某些型号的无线路由器存在某个无需授权认证的特定功能页面,恶意攻击者访问该页面后,可引导路由器自动下载恶意代码,从而获得路由器的最高权限。借此,入侵者可以通过操控路由器来安装插件、木马病毒或者直接记录用户在网上的一举一动,获取QQ密码、网上银行账号都不在话下。
近年来,社交网络、移动互联网、云计算等新型网络应用的涌现,将人、信息和资源越来越紧密地关联在一起,也为黑客攻击提供了可乘之机。针对一些当下热门的社交网站,黑客在攻入并窃取密码后,一方面可以利用此社交网站继续散布病毒和恶意软件,另一方面可以窃取电脑和移动智能终端中的用户隐私信息。随着智能终端的普及,智能终端已经成为黑客攻击的主要目标。手机病毒层出不穷,用户一旦感染病毒,就会造成信息泄露、流量消耗等恶果。此外,越来越多的人将自己的资料和大量有价值的信息转移到“云端”,这些“云”正在成为黑客攻击的新目标。
小链接
自己动手保护自己的隐私
1.避免密码重用,防止黑客获得你所有账号的权限。
2.避免用英语单词作为密码,防止黑客轻易破解。
3.避免使用变形的常用口令,比如“P455w@rd”(因类似“Password”而便于记忆),其实,流行的密码破解工具可以轻松地破解此类密码。
4.不要使用短的密码——无论是多么特殊的组合(如“h6!r$q”),最好的防御就是使用尽可能长的密码。
我们还应该马上着手做下面的6件事,它们能够让你的账户更难被黑客侵入。
1.启用双重认证,尽可能使用手机接收验证码,让黑客望而却步。
2.向安全问题提供假答案,比如“我的家乡在哪里”,答案完全可以是“我吃过了”。
3.创建一个名称与自己的用户名毫无关联的特殊邮件账户,仅用于执行密码恢复任务。
4.尽可能使用长的、复杂的密码,而且要定期更换,以保证安全。
5.安全使用网络,及时清除上网痕迹,不要把秘密留在网络上,不要给不怀好意的人留下可乘之机。
6.及时安装系统安全补丁,防范黑客利用漏洞入侵系统。
总而言之,在现阶段的网络环境中,已经没有绝对安全的密码,为保护个人隐私,应尽量避免将隐私信息保存在互联网上。