论文部分内容阅读
1记住不同密码的技巧
有个技巧让你能够记住那些足够安全但却难以记忆的密码。为了达到这个目的,你必须首先拥有一个基本密码,并且在每次修改时,遵循相同的新密码生成规则。例如你的基本密码是“pct-2j!HgX”,想要为GMX邮箱创建一个新的密码。GMX邮箱的地址是gmx.net。现在,以如下的方式改造你的基本密码,即以该网站地址中字符的个数作为密码的第一位,并以网站地址的第二个字符作为密码的最后一位。由此,你得到的新密码是“6pct-2j!HgXm”。又如,同样遵循上述规则,在网站board.gulli.com使用的密码应该是“13pct-2j!HgXo”。
2 安全的密码依旧存在风险
即使你创建了一个相对安全的密码,那么在你使用它时依旧存在风险。在一台陌生的电脑上输入密码的过程可能被偷偷地记录下来并被他人获取。使用Windows屏幕键盘(在命令行模式下键入“osk”命令)可以避免被键盘记录器软件记录。在大多数情况下,密码字符在输入时会显示成圆点。切忌不要使用明文显示,以避免那些潜藏的屏幕获取程序窃得密码。网络传输也要保证安全,使用SSL加密可以有效阻止你的密码在互联网传输的过程中以明文的形式被截取。
3 密码的长度决定暴力破解的难度
也许你曾经听说过有关显示卡导致电脑黑屏、温度过高的事情,但你也许有所不知,除了能够对电脑游戏起到加速作用以外,ATI Radeon HD5970显示卡所具有的运算能力还可以进行每秒钟103 000次密码破解的工作。如果以字典方式攻击,破解密码可能也不过是几秒钟的事;如果密码短,那么即使是以暴力攻击的方式将所有的组合可能都进行尝试,破解也用不了多久。字符组合的破解难度随着字符串长度的增加呈几何级数增加,因此你应该使用8位或更长的密码提高破解的难度。
4 密码产生器生成的密码更安全
假设密码是通过某个句子中各单词的首字母创建的,并包括数字和特殊字符,那么这使密码看似很安全,但是黑客们可以通过排除密码中从未出现过的字符的方式,提高暴力攻击的效率。使用密码生成器可以消除这种风险。该工具以等概率的方式使用字符构成密码,你可以将密码中的元素组织成句子,以便记忆。
5 高强度密码永久有效吗?
理论上说,你无需修改密码,即使过了很久,一个针对某个特定应用或服务的高强度密码依旧会保持其较高的安全性,一如它被创造之时。然而,银行、商家或是在线服务商依旧坚持让你定期修改密码,这样做的原因源于你在使用和保存密码时存在风险,这种强制修改密码的做法通常被认为是抵御风险的一种有效方式。当管理员要求我们频繁修改密码时,新的麻烦产生了,面对这样的要求,我们通常的反应是在原有密码上增加一个时间戳,比如修改密码时的日期。然而一旦密码被破译,黑客们可能会照此规律推断出新的密码。
6 特殊字符更加安全
使用那些不能通过简单的单个按键输入的特殊字符将使密码更加安全。在大多数情况下,为了提高密码搜索效率,黑客们在进行密码攻击时,会排除这些特殊字符。因此这种字符虽然输入比较麻烦,但却能够阻止黑客们窥视你的密码输入过程。由于一个特殊字符的输入需要多次敲击键盘,因此这个过程会误导偷窥你的黑客。例如,按住“Alt”键,并在数字小键盘上键入“0174”,得到的结果是“®”,按下了5次将只产生一个字符,其他一些字符的输入方法见表格1。事实上,所有的ASCII字符都有对应的Alt码。使用这些特殊字符会让暴力攻击增加难度,而传统的字典攻击对此也无济于事。唯一的问题是,永远要记住你是在哪里用这种密码,以及是否具备输入这种字符的条件。例如,手机上使用的字符集是经过删减的,因此无法使用这种字符输入方式。
7 密码管理工具是一把双刃剑
互联网上随处可见密码管理软件,如KeepPass,总的说来,密码管理软件提供了一种安全保管密码的简便方式。然而在方便的同时,风险也随之而来,事实上,我们总是期望将一个密码用在所有的地方,此时这个密码也成为所有数据隐私与安全的唯一保护伞。如果特洛伊木马病毒侵入了你的电脑,并通过键盘记录的方式看到了你的密码,黑客们就可以访问你的所有数据,从电子邮件账户到银行账户。在运行于虚拟机上的浏览器中输入密码更安全,以这种方式,密码仅在验证权限时才可见。否则,在虚拟机关闭后它将隐藏在虚拟机的一个文件中。运行在PC机上的密码管理工具有一个限制是当你不在电脑附近时,无法拿到密码。使用手机上的密码管理工具可以作为一个替代方案。文中截图是运行在Symbian操作系统之上的密码管理工具MobileKnox的界面。在其他的手机操作系统上也有类似的工具。
8 计算暴力破解密码的时间
你可以评估一下你密码的安全性。首先,你需要了解你的密码是由哪种类型的字符构成的。以一个纯数字构成的密码为例,选择0至9共10个数字。假定密码是由6位组成,那么可能的组合方式可以计算出来,即106=1 000 000。这就意味着有100万种组合方式。在第三个问题中,我们提到过ATI Radeon HD5970显示卡,有了它,配合俄罗斯ElcomSoft开发的密码恢复工具可以每秒测试103 000种可能的组合。通过简单的除法我们就可以计算出,你的密码在9.7s的时间内就可以被黑客破解。
9 密码也可以继承
如果你以正确的方式管理账户和数据,它们的安全性是有保障的。一旦数据的主人身故,该如何处理?网站、邮箱和银行户头应该给予继承人,这个在法律上看似简单的事情,却对技术提出了巨大的挑战。如果你没有密码,又想访问前人的数据,你恐怕有所不知,这对于信息安全领域来说是一种管理方式的变革。很多服务提供商都致力于此,并通过受控访问的方式在原主人身故之后解决数据继承的问题。例如,在DataInherit(www.datainherit.com)网站上,你可以免费存储50个密码以及10MB的重要数据。当你有不测之后,这些数据将会交给你所指定的其他人。
10 以词汇做密码不是明智之举
一段时间以来,软硬件技术的发展为人们在短时间内攻击诸如无线局域网、邮箱账户或者eBay账户提供了可能。例如,ElcomSoft的无线安全审计程序测试发现,利用一台配备英特尔酷睿i7处理器的电脑可以实现对以WPA方式加密的密码进行每秒4000次的攻击。软件很昂贵(1200欧元),但破解的版本在互联网上随处可见。大多数时候,它们和常用字典列表捆绑在一起。从理论上说,你的邻居破解你的无线网络密码仅需要几分钟的时间。你只有使用复杂的非词汇字符串作为密码才可以最大限度地避免被破解。
有个技巧让你能够记住那些足够安全但却难以记忆的密码。为了达到这个目的,你必须首先拥有一个基本密码,并且在每次修改时,遵循相同的新密码生成规则。例如你的基本密码是“pct-2j!HgX”,想要为GMX邮箱创建一个新的密码。GMX邮箱的地址是gmx.net。现在,以如下的方式改造你的基本密码,即以该网站地址中字符的个数作为密码的第一位,并以网站地址的第二个字符作为密码的最后一位。由此,你得到的新密码是“6pct-2j!HgXm”。又如,同样遵循上述规则,在网站board.gulli.com使用的密码应该是“13pct-2j!HgXo”。
2 安全的密码依旧存在风险
即使你创建了一个相对安全的密码,那么在你使用它时依旧存在风险。在一台陌生的电脑上输入密码的过程可能被偷偷地记录下来并被他人获取。使用Windows屏幕键盘(在命令行模式下键入“osk”命令)可以避免被键盘记录器软件记录。在大多数情况下,密码字符在输入时会显示成圆点。切忌不要使用明文显示,以避免那些潜藏的屏幕获取程序窃得密码。网络传输也要保证安全,使用SSL加密可以有效阻止你的密码在互联网传输的过程中以明文的形式被截取。
3 密码的长度决定暴力破解的难度
也许你曾经听说过有关显示卡导致电脑黑屏、温度过高的事情,但你也许有所不知,除了能够对电脑游戏起到加速作用以外,ATI Radeon HD5970显示卡所具有的运算能力还可以进行每秒钟103 000次密码破解的工作。如果以字典方式攻击,破解密码可能也不过是几秒钟的事;如果密码短,那么即使是以暴力攻击的方式将所有的组合可能都进行尝试,破解也用不了多久。字符组合的破解难度随着字符串长度的增加呈几何级数增加,因此你应该使用8位或更长的密码提高破解的难度。
4 密码产生器生成的密码更安全
假设密码是通过某个句子中各单词的首字母创建的,并包括数字和特殊字符,那么这使密码看似很安全,但是黑客们可以通过排除密码中从未出现过的字符的方式,提高暴力攻击的效率。使用密码生成器可以消除这种风险。该工具以等概率的方式使用字符构成密码,你可以将密码中的元素组织成句子,以便记忆。
5 高强度密码永久有效吗?
理论上说,你无需修改密码,即使过了很久,一个针对某个特定应用或服务的高强度密码依旧会保持其较高的安全性,一如它被创造之时。然而,银行、商家或是在线服务商依旧坚持让你定期修改密码,这样做的原因源于你在使用和保存密码时存在风险,这种强制修改密码的做法通常被认为是抵御风险的一种有效方式。当管理员要求我们频繁修改密码时,新的麻烦产生了,面对这样的要求,我们通常的反应是在原有密码上增加一个时间戳,比如修改密码时的日期。然而一旦密码被破译,黑客们可能会照此规律推断出新的密码。
6 特殊字符更加安全
使用那些不能通过简单的单个按键输入的特殊字符将使密码更加安全。在大多数情况下,为了提高密码搜索效率,黑客们在进行密码攻击时,会排除这些特殊字符。因此这种字符虽然输入比较麻烦,但却能够阻止黑客们窥视你的密码输入过程。由于一个特殊字符的输入需要多次敲击键盘,因此这个过程会误导偷窥你的黑客。例如,按住“Alt”键,并在数字小键盘上键入“0174”,得到的结果是“®”,按下了5次将只产生一个字符,其他一些字符的输入方法见表格1。事实上,所有的ASCII字符都有对应的Alt码。使用这些特殊字符会让暴力攻击增加难度,而传统的字典攻击对此也无济于事。唯一的问题是,永远要记住你是在哪里用这种密码,以及是否具备输入这种字符的条件。例如,手机上使用的字符集是经过删减的,因此无法使用这种字符输入方式。
7 密码管理工具是一把双刃剑
互联网上随处可见密码管理软件,如KeepPass,总的说来,密码管理软件提供了一种安全保管密码的简便方式。然而在方便的同时,风险也随之而来,事实上,我们总是期望将一个密码用在所有的地方,此时这个密码也成为所有数据隐私与安全的唯一保护伞。如果特洛伊木马病毒侵入了你的电脑,并通过键盘记录的方式看到了你的密码,黑客们就可以访问你的所有数据,从电子邮件账户到银行账户。在运行于虚拟机上的浏览器中输入密码更安全,以这种方式,密码仅在验证权限时才可见。否则,在虚拟机关闭后它将隐藏在虚拟机的一个文件中。运行在PC机上的密码管理工具有一个限制是当你不在电脑附近时,无法拿到密码。使用手机上的密码管理工具可以作为一个替代方案。文中截图是运行在Symbian操作系统之上的密码管理工具MobileKnox的界面。在其他的手机操作系统上也有类似的工具。
8 计算暴力破解密码的时间
你可以评估一下你密码的安全性。首先,你需要了解你的密码是由哪种类型的字符构成的。以一个纯数字构成的密码为例,选择0至9共10个数字。假定密码是由6位组成,那么可能的组合方式可以计算出来,即106=1 000 000。这就意味着有100万种组合方式。在第三个问题中,我们提到过ATI Radeon HD5970显示卡,有了它,配合俄罗斯ElcomSoft开发的密码恢复工具可以每秒测试103 000种可能的组合。通过简单的除法我们就可以计算出,你的密码在9.7s的时间内就可以被黑客破解。
9 密码也可以继承
如果你以正确的方式管理账户和数据,它们的安全性是有保障的。一旦数据的主人身故,该如何处理?网站、邮箱和银行户头应该给予继承人,这个在法律上看似简单的事情,却对技术提出了巨大的挑战。如果你没有密码,又想访问前人的数据,你恐怕有所不知,这对于信息安全领域来说是一种管理方式的变革。很多服务提供商都致力于此,并通过受控访问的方式在原主人身故之后解决数据继承的问题。例如,在DataInherit(www.datainherit.com)网站上,你可以免费存储50个密码以及10MB的重要数据。当你有不测之后,这些数据将会交给你所指定的其他人。
10 以词汇做密码不是明智之举
一段时间以来,软硬件技术的发展为人们在短时间内攻击诸如无线局域网、邮箱账户或者eBay账户提供了可能。例如,ElcomSoft的无线安全审计程序测试发现,利用一台配备英特尔酷睿i7处理器的电脑可以实现对以WPA方式加密的密码进行每秒4000次的攻击。软件很昂贵(1200欧元),但破解的版本在互联网上随处可见。大多数时候,它们和常用字典列表捆绑在一起。从理论上说,你的邻居破解你的无线网络密码仅需要几分钟的时间。你只有使用复杂的非词汇字符串作为密码才可以最大限度地避免被破解。