你用一个密码走天下?

为了省掉麻烦,你会不会用一个密码走天下?还是每个平台都有不同的账号密码?

(图:网络照片)

每当要登记新账号时,一般人不会花太多心思在设计密码,索性用回电邮密码或其他容易记得的密码。去年,美国密码管理公司Keeper Security和SplashData各别公布最容易破解的密码排行榜,结果超简单的“123456”稳坐榜首,其他榜中成员还包括“password”、“qwerty”、“123123”等等。

不过,许多网页或应用程式为了方便用户,允许用户用脸书、Gmail、微博账号登记。大多数人会毫不思索就点击这些选项,用一个账号管理所有的资料。然而这个做法无疑提高了资料外泄的风险。

冯宗福:“8字真言”击退骇客

容易记住难以破解

“懒惰”、“容易忘记”、“方便管理”,当你在设计密码,这些念头是不是也曾浮现在你脑海中?设想密码时,会不会也将生日号码或名字的英文字母串成密码,以免忘记而得费时间重设密码。有些人则直接把用户名字倒转成为密码,例如“cyberworld”变成“worldcyber”。再不然,共用一个密码,但只在密码后面置放网站名称缩写,例如淘宝网站就用“cyberworld2018tb”,脸书就放“cyberworld2018fb”等。

部份网站为了保障用户资料安全,会要求设置密码必须拥有大小写英文字母、符号和数字。偶尔还会在密码栏目下附上强度测试,以提醒用户密码不要设得“太弱”,不让人猜中破解。有部份网站论坛系统只允许用数字或大小写英文字母串成密码,而禁止特定符号如“%”、“#”和“/”等等。

“当网站系统的伸缩性越高,安全性就很低。例如网站只给用户使用数字密码,越方便反而提高被骇的风险。”网络安全及渗透测试服务专家LE全球服务公司(LGMS)创办人冯宗福建议,设置密码时得遵守两个重点——容易记住,难以破解。

句子变成密码

“我将这两个重点变成“八字真言”。‘容易记住’的诀窍是禁止使用字典上会找到的单词,而是将一个句子变成密码。以“我爱苹果汁”(iloveapplejuice)为例。这两个密码全部小写,没有加上任何符号。虽然密码很长,但骇客还是可以运用程式破解,只是需要更长的时间。

“第二个条件是‘难以破解’。即密码夹杂大小写、符号或数字,增加密码难度。我这里通过网上两个小工具去测试‘iloveapplejuice’的强度,其中一个显示要1000年才能破解,另一个是指密码强度只有16%。由于全都是英文小写,充其量是密码有长度,但不复杂。当我把这组密码变成‘IL0v3APpL3Ju!c3’时,前者显示要160亿年,后者指这个密码强度是100%,换言之是难破的密码。”

冯宗福说:“如果你把英文的a、e、i换成数字或符号,这样会增加难度。破解密码的意思是,我要从000000或aaaaaa去猜你的密码。如果相互交叠了英文字母、大小写、符号、数字,就会很难了。”

冯宗福建议,设置密码时得遵守两个重点——容易记住,难以破解。

密码最少要14位数

据英国媒体报道,骇客如果采用“brute force”攻击,只需一秒能动用800万个词组去破解一个人的密码。如果密码太短很快就会被攻破。骇客另一个惯用的手法是“字典攻击”(dictionaryattacks)。他们本身会有一个“字典”,里面收纳了数百万甚至千万曾被外泄的密码。在破解密码时,他们就启动“字典”,如果密码里面有英文单词或英文名字,不用几秒就破解了。

在暗网,有很多骇客会贩售或分享他们在寻获的外泄密码。骇客们只需更新自己的“字典”,就可以增加破解密码的成功率。

针对手机密码,冯宗福说,骇客还是可以破解PIN和Pattern密码。目前生物识别密码对比传统密码是比较保险。因为每个人的指纹、虹膜、人脸都不同,可说是专属的密码。然而没有人可以担保,骇客会否有一天破解生物辨识技术。

密码长度非常重要

网络安全公司Alert Logic的技术总监Richard Cassidy曾建议,密码最好有14个字元,因为骇客得尝试811兆次才能破解。他认为,密码长度比复杂程度来得重要。

句子越长,难度越高,骇客可能会先放弃,寻找更容易下手的受害者。若记忆力惊人,能够记得“iloveapplejuice”、“watermelonismyfavorite”、“billieieanisnotmylover”等密码,那就非常好。最差的密码是可以在字典找到的单词,举例像“admin”、“loginpassword”、“computer”等词汇。“如果骇客‘字典’有四百多万组密码,只需20秒就全数扫描完毕。

如果是单词密码不到一秒就解开了。”冯宗福说,经过多年累积,他们也组建了自己的“字典”,甚至收纳其他国家语言的密码,如意大利、德国等,因为各别国家用户都有特定词组模式的密码。

他透露,一些系统是可以只支援中文密码,但大部份人没有用。“其实中文密码更难骇。”然而,有些系统有些弱点,不接受Unicode编码,即英文以外的字元,如中文、韩文、日文等。用户不妨用拼音去对应自己的密码。比方“管理员”变成“guan1li7yuan3”。配合上述所提及的“八字真言”,再改造成“

Gu@N

!Li7¥uAN3”。

那么用表情包(emoji)取代密码是否可行?这并非天方夜谭,英国的银行软件开发公司Intelligent Environments在2015年曾倡议,开发emoji密码系统,利用44个emoji表情可以组成349万8千308个组合。对于冯宗福而言,他认为emoji符号背后的Unicode没有标准化,在不同的平台,同样的符号会显示不同的Unicode。“在WhatsApp可能是这组Unicode,但是在Viber或微信是不同的。”

有些网页系统不允许用特殊符号作为密码。

你是机器人吗?

登入网站时,偶尔会出现人机验证(captcha),这是一种安全验证机制,以证明本身是人而非尝试入侵的电脑程序。对于captcha机制,他解释,若骇客掌握了受害者的用户名称(username),但没有密码。骇客会设计一个程式,不断将连串数字和字母去测试密码。

“如果网站没有captcha机制,骇客就可以一直测试,直至找到正确密码就能登入了。有些机制是会限定3次或5次尝试。这些captcha就是为了防备这些攻击,例如选图片或输入字母。”如果是金融业务网站则会限制尝试次数,一旦超过就必须亲自去银行或提款机重设密码。另一些则是输入密码失败之后,系统就会冷冻账号一段时间。

冻结时间可能长达15分钟或一小时不等,直至用户输入正确密码为止,这也是减缓被骇的速度。

当记者输入“IL0v3APpL3Ju!c3”密码时,小工具显示要160亿年才能破解。

2016年最常见的密码

01. 123456

03. qwerty

05. 111111

07. 1234567

08. password

09. 123123

资料来源:Keeper Security

*分析逾1000万组外泄密码所得结果。

2017年最糟糕的密码

01. 123456

02. password

04. qwerty

05. 12345

07. letmein

08. 1234567

09. football

10. iloveyou

管理密码的方法

01.避免在几个平台使用同样的密码。

02.重新设定密码时,避免重复设定已用过的密码。

03.至少每3个月更换一次密码。

04.避免使用字典里的英文单词。若使用,将特定英文字母改成数字或符号。

05.设定密码时,不要放自己的名字、生日、手机号码、职员证号码等资料。

06.不要在公司办公桌、群组、网页或电邮公开张贴用户名称和密码。

07.如果担心忘记密码,抄录在一本簿子,然后严密保管。

08.不要点击任何陌生电邮发送的链接。

09.不要发送密码给任何人。

10.启用双因素认证,保护自己的账号。

11.小心设定“安全问题”和答案,不要轻易让人猜到。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180131A01MHQ00?refer=cp_1026

扫码关注云+社区