上海商业秘密律师网网络世界里黑客横行,防不胜防,有多少人在对你的密码虎视眈眈!对自己密码的设置和使用,多小心都不为过
北京振邦律师事务所合伙人王甫律师最近连续受到黑客攻击。他的邮箱密码被盗,导致新浪微博、博客、信箱均无法登录。王甫向北京市公安局报警,警方答复“因无任何财产损失而无法处理,建议找网络服务商”。而网络服务商则表示,因为黑客持续攻击王甫,连累了他所在小区的其他用户,很多人都因为掉线而不满。对于自己的遭遇,王甫说,“如果你不搬家或者不更换网络服务商,这种问题很难解决。”
在现代社会,密码充斥在人们的生活中,翻开钱包,打开电脑,走进工作场所,信用卡、手机、网银、邮箱、保险柜、电子门禁…… 别的不说,光一个手机中,就有手机锁定密码、蓝牙密码、飞信密码、通讯记录查询密码等等。然而,如此高密度的密码使用,却未必能保证我们的安全。
在本刊发稿时,新浪微博输入关键词“密码被盗”,可以找到55万多条相关的结果。其中声称密码被盗的既有一般用户,也不乏经过认证的各种职业人士,如演艺人员、商人、律师、作家、警察等等。
密码的真相
最理想的密码设置应该既容易记忆又不易被破解,可人们在实际中往往更注重前者,却容易忽视后者。但想象不到的是,围绕着“密码”,已经形成了一个新兴的产业,有多少人在对别人的密码虎视眈眈!
曾经有黑客从一个叫RockYou的社交游戏网站偷盗了3200万个密码,结果发现:其中有36.5万人使用的密码是“123456”或“12345”。根据密码设置的可预见性,黑客编制了“常用密码辞典”,这给那些试图破解密码的人提供了方便。
因为很难获得足够大的样本,因此研究者难以准确地描述人们选用密码的不安全性,究竟低到怎样的一个程度。像RockYou这样被入侵的网站提供了较大的样本,但是使用这类信息进行分析研究则存在着道德方面的问题。
最近,一篇提交给某电脑安全研讨会的论文引起人们的注意,作者披露了一些过去不为人知的有关密码的真相。这个研讨会是纽约的专业团体“电子和电气工程师协会”组织的。牛津大学的约瑟夫·邦努和互联网公司雅虎合作,得到了迄今为止最大的、包括7000万个密码的样本。虽然样本中的用户都是匿名的,但这项研究还是发现了一些很有意思的现象。比如,年龄较大的用户比年轻用户的密码安全度要高(似乎越是那些熟谙技术的年轻人,越不在意这些事);使用德语和韩语的用户,其设置密码的安全度是所有用户中最高的,而使用印尼语的用户的密码安全度最低。与保护敏感信息(如信用卡)有关的密码,只比不太重要的密码(如游戏用户)的安全度略高一点儿;在用户注册时出现的密码安全度提示实际上不起什么作用;那些账户曾被入侵过的用户在重置密码时,并不比那些没遇到过问题的用户谨慎多少。
但是最让电脑安全研究者感兴趣的还是对这一样本的总评:尽管各个用户组的情况有所不同,但这7000万用户的密码从总体上说仍然具有高度的可预测性,无论是对于整个样本来说,还是对于各个用户组来说,都可以编制出有效用于破解密码的“词典”。领导这一研究的约瑟夫·邦努坦率地说:“黑客猜测十次就可以破解的密码,大约占总样本的1%。”这在黑客看来,显然是一个相当“令人鼓舞”的结果。
防不胜防
为了避免遭遇王甫律师那样的无奈,就要设置一个安全且便于记忆的密码。然而便于记忆的密码往往有规律可循,如自己或家人的生日、电话号码,这些密码都不安全。要想安全,就得没有规律性,如一串散乱的数字、字母、标点符号组合。然而这样的密码,别人是猜不到了,自己也不容易记住。
为了增加安全性和方便性,用户可以将自己的密码进行分级,如分为三级:将在论坛等通过非实名认证的注册账号,设置一个安全性较低的密码,用一个密码可以来往于各个网站之间;为邮箱、支付宝、银行账号设置比较复杂的密码,密码可以由一句中文或者英文的每个字的首字母构成,配以标点符号。为了更安全一些,还可以将网上的账户密码和随身携带的手机进行绑定,通过手机绑定,密码被修改或者忘记,都可以通过手机短信找回。
用户上网时也应该注意识别网站的安全级别,可以在浏览器上安装一个插件,每访问一个网站就会提示该网站的安全级别。访问安全级别低的网站就有可能被木马入侵,这样无论多安全的密码,都会通过木马泄露给黑客。
还有一种替代方法是使用多词密码,又称为“联词口令”。在密码中使用几个词而不只是一个词,使黑客必须猜测更多的字母。但前提是,选取的联词不会被熟练使用某种“联词字典”的人所破解。
邦努和他的同事曾经分析了网购商亚马逊所使用的联词口令系统,亚马逊在2009年10月到2012年2月容许它的美国用户使用这个系统。他们发现,虽然联词口令比密码的安全度确实高,但并不像预期的那样理想。由四五个随机选取的词组成的口令相当安全,但是要记住它,比记住几个随机选取的密码还难。这又一次说明,人们对“容易记忆”的需要总是使黑客有机可乘。
在中国科学院信息安全国家重点实验室进行研究工作的张令臣表示,“密码其实应该称为口令,它是一种鉴别用户身份的简单易行的手段。在一些并不太重要或者安全要求不高的场合,口令就足以胜任了。比如在某个论坛注册一个账号,只是为了发表一些看法,看帖回帖,就算丢失或被人盗用账号也无关紧要。而在安全需求更高的场合,可以联合其他办法提高安全性,比如绑定手机号,登录时使用手机验证码,再如使用USB Key、电子口令卡、动态口令卡等。”
网站的责任
目前,恶意盗取密码的方式主要有以下几种。暴力破解,黑客们将一些常用的数字组合如12345,以及常见的单词组合汇编成一本密码词典,再通过程序对账户的密码进行猜测。登录网站时,登录密码的页面会提示使用验证码,就是为了确认是自然人在登录网站,其目的就是避免这种情况的发生。第二种方式是通过木马盗取密码,木马利用计算机程序漏洞侵入用户电脑中,潜伏下来,记录账号密码,再将这些信息传输给木马的“主人”。第三种方式是通过“网络钓鱼”来盗取密码,钓鱼者向用户发送带有欺诈性的电子邮件,通知其更改密码,而用户更改密码的过程就是向“钓鱼人”告诉密码的过程。
一个明显有效的防范措施,是在密码输入一定次数仍不正确后,禁止登录网站,就像自动取款机实行的办法一样。虽然一些超大网站如谷歌和微软等采取了这样的措施,但很多网站并没有这样做。邦努和他的同事在2010年调查了150个大型网站,其中有126个没有猜测次数的限制。
对于有些网站来说,因为没有什么特别有价值的东西如信用卡信息需要保护,密码安全可能不是一个十分重要的问题。但是对密码安全的宽松态度,会给那些安全性能好的网站也带来问题,因为人们通常在若干不同的网站使用同样的密码。
张令臣认为,网站应该在密码安全方面承担更大的责任,“不可否认,网民的安全意识参差不齐。但是就算网民深知如何设置安全的口令,很多人也会弃之不用,因为使用时太麻烦。我认为,保证安全性是Web应用提供者应该承担的,而不应该假设网民愿意使用复杂的口令。”
360网站的一份报告显示,2011年我国网络安全水平总体偏低,国内存在高危漏洞的网站约占36%,中危漏洞的网站约占16%,而安全的网站只有48%。张令臣说,“Web应用的提供者有技术,也有资源,而且处于核心。让Web站点保证高安全性,肯定比让成千上万的网民提高安全意识要更容易些。”
网络安全的问题可能永远没有最终的答案,因为任何安全措施都是“烦人的”。经常坐飞机的人知道,人们希望安全,但又希望什么事都简单易行,这两者总是冲突的。只要这个冲突存在,安全就不是绝对的。