网络安全的基石 – 密码安全

这篇文章探讨的是现在网络安全中关注较少但极为重要的密码安全。今天距备受瞩目的CSDN及多个社交网站的集体密码泄露已经过去了将近一年,这次事件给很多人敲响了警钟,但警钟归警钟,密码还是照原样设置,似乎渐渐将这件事情淡忘。然而,近来关于QQ盗号团伙的新闻却提醒我们,我们的不在意,不代表那些想用我们账号的人不在意。在之前的日志中,我也强调,淘宝诈骗的唯一目标就是我们的密码,而其他近些年的恶意软件设计,无一例外将目标锁定在用户的密码上。所以,将密码安全称之为“网络安全的基石”,不为其过。

那么,到底有多少种密码攻击方式呢?说多有很多,说少,其实就三种:

  1. 骗你。也就是各种钓鱼攻击,通过精心伪造的网页来诱导你输入密码。这类攻击如果长个心眼,不难防御,无非就是不输嘛。但道高一尺,魔高一丈,骗术日益精密,令人防不胜防。近日就有新的钓鱼手段出现,可以直接借用目前所有的论坛和社交网站进行钓鱼,详见这篇文章。所以,光长心眼是不够的。

  2. 黑掉。这是CSDN等网站密码泄露的方式。黑客直接做掉网站服务器,拿到用户的密码数据库。尽管现在大部分网站声称对密码进行加密存储,但谁知道有多少真的这样做了?去年底的密码泄露,涉及到的都是鼎鼎大名的一线网站。所以,我们要做好密码随时被黑客拿出来看到的准备。

  3. 记录。通过各种木马程序,记录你的所有键盘操作,对应程序的标题栏判断网站进行匹配。这是比较古老和传统的方法,虽然被杀毒软件压得厉害,但时不时还是会兴风作浪。

这三种攻击里面。通过提高安全意识,安装杀毒软件,只能部分防御第一和第三类密码攻击,这就使我们在密码安全上处于十分被动的地位。要想改变这一切,就必须采取科学有效的密码管理手段。下面列举一些我们常常听到的密码管理诀窍。无一例外,绝大多数的人选择了忽视,括号里是理由。

  1. 设置很长很难记的密码。(自己都觉得难记,那忘记才是常态,不忘记才是意外)
  2. 设置数字,特殊符号,大小写字母组合。(理由同上)
  3. 为每个网站设置不同的密码。(理由同上)
  4. 定期更改密码。(理由同上)
  5. 设置基础密码,并根据不同网站进行逐一变种。(如果你知道如何变种,黑客也知道了)

其实上面的诀窍都有一定道理,但是关键是很难执行,好不容易执行了过不了多久就忘记了。其实,好记的密码好猜,难猜的密码难记,这就是密码安全的矛盾之处。

为此我提出以下建议。

  1. 使用Gmail作为所有账号的密码重置接受邮箱,开启Gmail的双重验证功能。Gmail是目前全世界唯一支持双重验证的邮箱。双重认证就是用你知道的加上你拥有的进行认证(something you know and something you have)。只需要注册手机号码或者安装App,就能动态生成密码。在不常用地点登陆邮箱时会需要输入静态和动态两个密码才能登陆,极大提高了账号安全。

  2. 使用Lastpass进行密码管理。为什么不是其他密码管理软件而是Lastpass,因为它支持双重验证。即使黑客千辛万苦知道了Lastpass的主密码,也无法从另外的地点登陆。而且目前为止,还没有一例攻破Lastpass密码服务器的案例。

  3. 使用Lastpass为每个网站生成独一无二的复杂密码,20位以上,至少有数字和大小写字母。你不需要记住这个密码,你只用记住Lastpass主密码,也就是“最后的密码”。当然有些网站不支持那么长的,那么就设置网站支持的最复杂的密码。

  4. 不定期或定期审查或修改密码。对常用网站和高风险高价值网站(如邮箱和社交网站等)定期更换密码。

  5. 对淘宝、支付宝、QQ等金融相关网站开启双重验证。

做到以上四点。基本上可以防范我之前提到的三种攻击。

  1. 黑客只能知道你的一个密码,也只能登陆一个网站,无法知道其他网站。

  2. Gmail的密码不会被盗,因而所有密码重置邮件可以正常接收,之后设置一个新密码就行了。

  3. 即使支付宝淘宝密码被盗,由于双重验证的存在,黑客也不能下手。

至于Lastpass的用法,其实很简单,我就不多说了,也懒得说了。

This post is my own and does NOT necessarily represent positions, strategies or opinions of IBM.

本文仅代表作者的观点,不代表IBM的立场、策略和观点。

1 comment

Comments are closed.