密碼泄露探因：明文保存密碼相當危險

　　泄密探因

　　密碼要經(jīng)過一段旅途

　　為什么會發(fā)生如此大規(guī)模的密碼泄露事件？中國軟件評測中心高級工程師朱璇表示，問題出在兩個方面，使用者的密碼設(shè)置過于簡單，網(wǎng)站管理出了問題。

　　當我們登錄一個普通網(wǎng)站時，密碼要經(jīng)過這樣的一段旅途：我們先在鍵盤上輸入密碼，網(wǎng)站將其上傳到服務(wù)器，然后在服務(wù)器中保存，當我們丟失密碼時，需要通過某種驗證才能重新獲得密碼。

　　這每一個環(huán)節(jié)，都可能被黑客攻擊，獲得密碼。

　　在輸入密碼階段，黑客只需攻擊個人計算機終端，當計算機中了木馬病毒時，鍵盤里敲擊的密碼就可能被黑客截獲，病毒也可能搜索計算機文件，獲得里面和密碼相關(guān)的信息。

　　在密碼上傳階段，朱璇表示，密碼信息上傳到服務(wù)器，這段旅途雖短，但很多網(wǎng)站，包括一些論壇，都沒有把密碼明文加密的習(xí)慣，成為黑客攻擊的薄弱環(huán)節(jié)。

　　如果上傳的密碼過于簡單，也很容易被黑客用“暴力攻擊”的形式獲得，最常用的是“詞典式攻擊”。黑客手中會有一個海量密碼的詞典，如果用戶使用簡單的信息，如姓名、生日、電話等，黑客可以設(shè)計一個小程序，計算出來。因此，很多網(wǎng)站在登錄密碼頁面會使用驗證碼，防止電腦的詞典式攻擊。

　　服務(wù)器保存

　　明文保存密碼相當危險

　　密碼到達終點，即網(wǎng)站服務(wù)器，它的保存方式也被黑客盯上。此次密碼泄露，就是因為很多網(wǎng)站以明文形式保存用戶的密碼，而沒有任何加密，當黑客攻擊進入服務(wù)器后，就可以直接看到裸露的密碼原文。

　　果殼網(wǎng)“死理性派”主編吳蘇介紹，明文保存密碼相當危險，黑客只要獲得了密碼數(shù)據(jù)庫，再復(fù)雜的密碼，都可以看到。

　　他介紹，現(xiàn)在網(wǎng)站服務(wù)器已經(jīng)有了很普遍的加密方法，叫做哈希函數(shù)。比如，英文里“狐貍在冰上跑”和“狐貍在冰上走”兩句話，通過哈希函數(shù)一轉(zhuǎn)化，很快變成了完全讓人摸不著頭腦的組合“52ED879E”和“46042841”。

　　但即使用了哈希函數(shù)加密，也不代表無懈可擊。

　　密碼分析學(xué)家阮風(fēng)光說，如果一串被哈希過的密碼被盜，只要密碼過于簡單，黑客同樣可以獲得。

　　通常，黑客手中，都有一份很長的列表，稱為“碰撞庫”，里面儲存的是很多常用密碼對應(yīng)的哈希值。朱璇介紹，現(xiàn)在網(wǎng)上有專門的網(wǎng)站對哈希值進行破解，根據(jù)密碼難度進行收費。“比如要破解admin123，屬于最常用的前1萬個密碼，你只要花1毛錢，如果密碼是123456，就可以給你免費破。”“萬惡之源是密碼過于簡單。”朱璇說。

　　密碼矛盾

　　安全和便利不可兼得

　　“互聯(lián)網(wǎng)安全問題分成管理層面和技術(shù)層面，密碼安全橫跨兩個層面。”朱璇說。

　　對于網(wǎng)站而言需要考慮的安全因素太多了。比如，開發(fā)代碼中是否存在漏洞，服務(wù)器所處的地理位置是否足夠安全，服務(wù)器是否有密碼，操作系統(tǒng)是否打了補丁，等等，任何一個環(huán)節(jié)出了漏洞，其他環(huán)節(jié)再安全，也可能被黑客攻進。

　　“一切都是需要花錢的，”阮風(fēng)光說，“比如你要在服務(wù)器中對密碼進行加密，就可能需要雇用有安全背景的人來寫軟件。”

　　目前，科學(xué)家和工程師們也在盡量讓身份識別變得更為容易，如生物指紋、或視網(wǎng)膜鑒別等等方式，但即使這些額外的保護措施，同樣需要花錢。“人們得意識到，更高的安全度，就意味著更多的錢。”阮風(fēng)光說。

　　他表示，計算機科學(xué)技術(shù)發(fā)展到今天，人們也一直沒解決密碼安全性和便利性的矛盾，始終沒有完美的解決方式。原則上，密碼越長，越安全，可是也越難記住，哪怕記在電腦或者紙上也是不安全的。此外，用戶如果在不同網(wǎng)站使用不同的密碼，也更安全，但是卻很不方便，很難記住這么多的密碼。“要安全，就得舍棄方便，要舍棄麻煩而圖便利，就可能不安全。”本報記者金煜

　　密碼防盜指南

　　1有足夠的安全意識，避免在社會層面受到密碼詐騙。

　　2不同安全等級的網(wǎng)站設(shè)不同強度的密碼。對于網(wǎng)銀等和個人利益直接相關(guān)的網(wǎng)站，一定要設(shè)置超強的密碼。

　　3測試網(wǎng)站的密碼安全性，在注冊一個網(wǎng)站時，如果你輸入密碼“123456”也能通過，這個網(wǎng)站肯定不安全。同樣，對密碼長度沒有要求，不能使用特殊字符，或者無法區(qū)分大小寫的網(wǎng)站的安全性能也不高。

　　4減少使用常用的個人信息，盡量不用自己的生日作為密碼。盡量使用和自己個人信息不相關(guān)，或者距離遠的信息。

　　5利用經(jīng)典密碼學(xué)，設(shè)置自己的加密“函數(shù)”或規(guī)律。比如，你可以選取“不管三七二十一”，抽出其中的數(shù)字“3721”，對個別數(shù)字進行替換或移位，把“7”變成英文字母中的“L”，把“1”變成英文字母“i”，變成“3L2i”，這樣，密碼就稍微復(fù)雜一點。

　　6多組合密碼。搭配各類數(shù)字、字母、大小寫、特殊符號的組合，比如一個10位長的隨機密碼，由于常用鍵一共有95個，因此一共會有(95的10次方)種組合，較難在短時間內(nèi)被“暴力”破解。你可以把“3L2i”加上符號變成“3#L*2i#”。

　　7在你的密碼“3#L*2i#”和另一個人的密碼“123456”之間，黑客肯定首先盜取后者的密碼，一旦一個網(wǎng)站的密碼發(fā)生泄露，你可以比有著簡單密碼的后者擁有更多的時間進行密碼修改。

　　8最后，隔一段時間，換一下自己的密碼，總是能讓密碼更安全的。

　　歷史

　　互聯(lián)網(wǎng)開創(chuàng)密碼伴生

　　“互聯(lián)網(wǎng)開創(chuàng)第一天，就有了密碼。”清華大學(xué)高等研究院訪問學(xué)者，密碼分析學(xué)家阮風(fēng)光說。上世紀60年代，互聯(lián)網(wǎng)雛形初現(xiàn)，當時的計算機體形龐大，一臺就占據(jù)整個機房。

　　由于每臺巨型計算機被很多人共享，為了辨別不同用戶身份，需要設(shè)置密碼，這也決定了此后互聯(lián)網(wǎng)設(shè)置密碼的目的：辨別使用者。

　　事實上，密碼學(xué)要比計算機的歷史古老得多。從古羅馬時期開始，各國打仗時就常常使用密文形式來傳輸信息，二戰(zhàn)時密碼技術(shù)更是突飛猛進。今天，在小說如《達芬奇密碼》中，我們也時常能讀到讓人心馳神往的密碼破譯故事。

　　中國軟件評測中心高級工程師朱璇介紹，古典密碼學(xué)主要有兩個基本原理，即“移位”和“替換”，比如，將數(shù)字往后移一位，3變成4,7變成8，或者將字母A換成D，都可以起到加密作用。

　　現(xiàn)代密碼學(xué)建立在傳統(tǒng)密碼學(xué)基礎(chǔ)上，但增加了大量數(shù)學(xué)、物理學(xué)、計算機科學(xué)的內(nèi)容，其對當前互聯(lián)網(wǎng)技術(shù)發(fā)展、軍事及國家安全、以及商貿(mào)、金融等行業(yè)的發(fā)展起到了至關(guān)重要的作用。

　　密碼泄露案例

　　國外發(fā)生過多起嚴重的密碼泄露案件

　　1998年，互聯(lián)網(wǎng)安全網(wǎng)站CERT發(fā)現(xiàn)黑客襲擊了18.6萬多個加密密碼，其中，47642個密碼被盜。

　　2009年，社交網(wǎng)站Rock you.com發(fā)生嚴重密碼泄露，3200萬個密碼被盜，其密碼以明文形式在服務(wù)器上存儲。

　　2011年，索尼公司連續(xù)遭受四輪黑客襲擊，致使過億用戶信息泄露，這些個人信息中包括用戶賬號密碼、電子郵箱、家庭住址、生日等信息。索尼公司公開致歉，美國聯(lián)邦調(diào)查局介入。此事成為近年來最大的網(wǎng)絡(luò)安全事件。

　　2011年，第一個推行網(wǎng)絡(luò)實名制的國家韓國發(fā)生個人信息泄露事件。韓國青瓦臺、外交通商部、國家情報院等國家機構(gòu)等共40個網(wǎng)站遭到攻擊，造成大量用戶信息外泄。去年年底，韓國廣播通訊委員會提交報告，將逐步取消網(wǎng)絡(luò)實名制。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]