安全教程

关注公众号 jb51net

关闭
网络安全 > 安全教程 >

黑客专家教你设计不易破解的密码以及注意事项

脚本之家

美国一家密码管理应用提供商SplashData 公司近期总结出2012年度最差的25个密码,美国《纽约时报》作家尼克尔·佩尔荣斯近日撰文指出,密码要想不被黑客猜中,有几点非常重要的注意事项。以下为文章全文:

  从事网络安全文章写作不久,我就变成了一个嘲笑从前的自己的偏执狂。每天,黑客们不停地提醒我,窃取我的个人数据太容易了。不到几周时间,我为每家网站的账号设置了独特的、复杂登陆密码,并为自己的电子邮箱账户设置两重认证程序。我甚至给计算机的摄像头贴上了胶带纸——朋友和同事建议我该去看心理医生了。

  但是最近的一些事情终于为我洗冤。我撕掉摄像头的胶带,没几天就发现指示灯变绿了。这说明有人入侵我的计算机,正虎视眈眈地监视我。最近,谷歌发来的短信,内含Gmail帐户的第二步验证码。问题是我根本没登陆帐户,干嘛要第二次验证?很明显,黑客试图闯入我的邮箱。

  被黑太容易了,你只需要点击一个含有病毒的链接或者附件就中招。大公司的计算机系统每天都遭受黑客的袭击。黑客们将窃取的密码放到黑市上交易,每个可获得20美元的收入。黑客最喜欢用诸如“约翰开膛手”(John the Ripper)之类的免费密码破解程序,它每秒可以尝试数百万次密码登陆。

  每个人一生中总会遭受几次黑客入侵。我们唯一能做的就是管理好密码,逃避可疑的链接。不幸的是,良好的密码设置习惯就像牙线剔牙——你知道它的重要性,但需要持之以恒,付出努力。想想看,为每一个新闻网站、社交网站、电子商务网站、银行网站、企业网站和电子邮件帐户想出唯一的、难以破解的密码并把它们全部记 住是件多有挑战的事情啊。

  为了解决这个问题,我给耶利米·格罗斯曼(Jeremiah Grossman)和保罗·科克(Paul Kocher)打电话咨询。格罗斯曼先生是个知名黑客,他第一个公开演示如何通过浏览器控制一台电脑的摄像头和麦克风。目前,格罗斯曼供职一家互联网和网络安全公司。科克先生是著名的密码学专家,以巧妙攻击安全系统而闻名。他现在经营一家安全公司,专注于提高系统抵御黑客的能力。以下是他们给出的建议:

  不要靠字典中的单词:如果你的密码可以在单词书中找到,那就和没有一样。黑客们经常借助词典以及词汇的变体测试密码。如果你不属于这一类,他们通常就会放弃。

  一个密码绝对不要使用两次:人们喜欢在不同的网站使用同一密码,这可让黑客有了可乘之机。如果你的LinkedIn账户遭泄露,可能没什么损失;但他们会利用该密码尝试你的电子邮箱、银行账户等一切存储资产及重要个人数据的地方。

  设置密码短语。密码越长,破解的时间也越长。如果不想让黑客在24小时内能破解你的密码,密码长度应该超过14个字符。因为长密码难于记忆,可考虑用喜欢的电影台词、歌词或一首诗的首字母拼接在一起。

  胡乱敲击键盘:对于敏感的账户,格罗斯曼先生建议随机乱敲键盘,并间或敲击Shift和Alt键,然后将结果复制到一个文本,存入一个有密码保护的U盘。

  安全存储你的密码。不要将密码放在收件箱或桌面。如果恶意软件感染电脑,你就完蛋了。格罗斯曼先生将密码文件存入加密U盘,使用帐户时,他把这些密码复制粘贴过去。即便黑客利用键盘记录软件,同样无法捕捉到他的密码。科克先生则把密码提示保存一张纸上,把敏感的信息和互联网彻底隔离。

  不要依赖密码管理器。密码保护软件可使用户将所有用户名和密码存储在同一区域。有些程序还能为你创建强大的密码,只要你输入主密码,就能帮你自动登录网站。 如LastPass、SplashData和AgileBits等等。科克先生认为,即使加密后,密码仍然留在计算机里。如果电脑遭到盗窃,等于丢失所有 密码。而且密码管理器不一定靠谱,今年初在阿姆斯特丹举行的安全会议上,黑客们就演示了破解手机密码管理器的技术。

  安全问题最好答非所问。网站的验证问题经常问道“你最喜欢什么颜色?”“你在哪所中学就读?”,这些问题的答案局限性太大,很容易在互联网上找到。今年初, 一名黑客利用米特·罗姆尼(Mitt Romney)最喜欢的宠物的名字破解其Hotmail和Dropbox帐户。比较安全的做法是密码提示和问题无关。如果安全问题问出生医院的名称,你的回答可以是最喜欢的歌词。

  使用不同的浏览器。格罗斯曼先生强调,不同的网络活动要用不同的浏览器。选择一个浏览器做乱七八糟的事情,如浏览网上论坛、新闻网站、博客等不重要的事情。第二个浏览器用于登录网上银行或收发电子邮件。这样浏览器被攻击后,银行帐户就不一定会泄露。Accuvant Labs去年研究发现,在其所调查的火狐、谷歌Chrome及微软Internet Explorer浏览器中,Chrome最安全。

  别乱分享你的信息。科克先生强调说,不要经常利用真实的E-mail地址注册网上帐户。很多“一次性”e-mail地址是最佳选择,如10minutemail.com提供的地址,用户注册、确认在线账户后,这些电子邮件地址会自我销毁。