网络时代:密码是否走到了终点?

你是否认为自己的密码是原创的、独特的,不可能被别人猜到的?如果你这样认为的话,那么你该冷静一下,再好好想想。破解字母组合而成的密码轻而易举,只是耗时长短的问题而已。专家们认为,现在人们常使用的密码已经走入了死胡同。

你是黑客的最佳助手

2015年10月19日,美国中央情报局时任局长约翰·布伦南怒火中烧。他浏览着政策文件、秘密档案、通讯录以及妻子的个人信息,让他生气的并不是这些材料内容,而是看到这些应当被保密的信息竟然放在维基解密的网站上供人浏览。这是谁干的呢?毫无疑问,黑客。他们通过某种方式破解了布伦南的邮件账户。布伦南同大部分人一样,将用户名和密码当作打开虚拟网络账号的唯一通道,以为它们能够保障信息安全。事实证明,这些看起来有效的身份认证方式似乎并没那么可靠。

你为某个账号设立密码会花多长时间?10秒钟?2秒钟?还是说你像1/3的互联网用户一样,将各种账号的密码设置得完全一样?2015年7月,世界上最大的婚外情网站Ashley Madison被黑客攻破,3700万用户的信息被悉数公布出来,包括他们一些十分隐秘的私人信息,这些令人感到羞耻的记录成为别人茶余饭后的八卦谈资。被泄露信息的用户不管是婚姻还是工作都受到严重影响,有些人甚至迫于所受的压力而选择自杀。尽管这些用户自己“玩火自焚”,但是令人感到悚然的是这么多用户信息竟然一下子就被攻破了。该网站用户同大部分网民一样,采用的密码非常简单,简直到了荒唐的程度。最常用的密码组合包括“123456”、“password”(“密码”的英文翻译)。据统计,98.8%的用户所用的密码总数还不到1万个。

为什么明知这样不安全,绝大部分人还是会选择使用简单的密码呢?因为我们很多时候把方便看得比抽象的安全还重要。毕竟,要想到一个复杂的密码自己可能记不住,别人无法登陆自己的账号固然不错,可是自己也无法登陆就很麻烦了。而且如果已经出现了一次忘记密码的情况,在重置密码的时候就自然地会设置一个更简单也更容易记的新密码。

黑客们的“暴力”破译

有时我们自认为把密码用字母和数字的组合设计得比较复杂就安全了,可黑客们还是屡次得手密码数据库。因为人们在设置密码的时候,思路大同小异,比如把字母O用数字0代替,加入符号或数字,这都是老把戏了。或者用一些自己喜欢的歌词、艺术家名字、宠物名、足球运动员和他们的队服号码来做密码。那些你觉得完美的无序组合,比如科幻小说里的某些代码(“ncc1701”或“thx1138”),也没有你想的那么独特,其实很多人在用。黑客们只需要利用程序软件分析几十亿个密码组合,就能够推测出几乎所有人使用的密码。

这几十亿个密码组合如何快速分析破解呢?一种被称为“暴力破解攻击”的密码攻击使用软件完成,一台计算机每秒钟可以尝试80亿种密码组合。所以,用这种方式对付我们那些“小儿科”的密码简直轻而易举。

一些服务商设置了密码字符数的上限,这使破解密码变得更加容易。名为CynoSure Prime的密码破解组织保持着世界最快密码破解记录:他们能够用一个计算机集群以每秒钟3500亿密码的速率验证密码。这意味着使用超级计算机的话,5.5小时之内就可以试完所有8个字符以内的密码。而8个字符的密码是大部分服务商和公司所要求的密码字符数。破解了这个就基本上等同于破解了账号信息。

后知后觉的攻击

黑客来得如此迅速,悄无声息,而我们总是后知后觉,忽略了他们的存在。许多用户沉浸在虚假的安全感中,根本注意不到自己的账号已经被盗取了。据英国信息安全保护机构统计,1/4的英国电脑可能会受到恶意软件的攻击,被网络犯罪分子利用,成为僵尸电脑。

德国议会的网络被认为是欧洲最安全的网络之一,然而,他们也遭遇过奇耻大辱。2015年,德国议会网络被黑客入侵,而系统在受到入侵6个月之后因发现可疑服务器才意识到自己被“黑”了。政府系统的网络尚且这样,个人用户就更容易给黑客留下可乘之机了。

即使密码并不像我们想象中那样能够有效保障我们的信息,但是我们仍然会长期坚持采用密码系统。因为更安全的替代方式需要额外的硬件,比如虹膜扫描仪,这太麻烦,而传统的密码系统便捷、成本低,对普通用户来说更加实用。所以,从这个意义上来说,密码还会在我们身边持续存在着,没有迈入终点。

原则上来说,开锁匠能够打开的门,盗贼也能够打开,门锁能够带给我们的保护是有限的,但是我们仍旧会使用门锁。使用更复杂的门锁形态,充分利用好锁的功能,延长小偷撬锁的时间,就能够增加他们畏难放弃的几率。同样的,不管传统密码多么不堪一击,我们仍然需要它,而设置更复杂的密码,至少可以免除被一些低级的攻击方式所影响。因此,无论如何,让我们都尽量把网络密码设置得更复杂一些吧!