密碼泄露探因：明文保存密碼相當危險

　　泄密探因

　　密碼要經過一段旅途

　　為什么會發(fā)生如此大規(guī)模的密碼泄露事件？中國軟件評測中心高級工程師朱璇表示，問題出在兩個方面，使用者的密碼設置過于簡單，網站管理出了問題。

　　當我們登錄一個普通網站時，密碼要經過這樣的一段旅途：我們先在鍵盤上輸入密碼，網站將其上傳到服務器，然后在服務器中保存，當我們丟失密碼時，需要通過某種驗證才能重新獲得密碼。

　　這每一個環(huán)節(jié)，都可能被黑客攻擊，獲得密碼。

　　在輸入密碼階段，黑客只需攻擊個人計算機終端，當計算機中了木馬病毒時，鍵盤里敲擊的密碼就可能被黑客截獲，病毒也可能搜索計算機文件，獲得里面和密碼相關的信息。

　　在密碼上傳階段，朱璇表示，密碼信息上傳到服務器，這段旅途雖短，但很多網站，包括一些論壇，都沒有把密碼明文加密的習慣，成為黑客攻擊的薄弱環(huán)節(jié)。

　　如果上傳的密碼過于簡單，也很容易被黑客用“暴力攻擊”的形式獲得，最常用的是“詞典式攻擊”。黑客手中會有一個海量密碼的詞典，如果用戶使用簡單的信息，如姓名、生日、電話等，黑客可以設計一個小程序，計算出來。因此，很多網站在登錄密碼頁面會使用驗證碼，防止電腦的詞典式攻擊。

　　服務器保存

　　明文保存密碼相當危險

　　密碼到達終點，即網站服務器，它的保存方式也被黑客盯上。此次密碼泄露，就是因為很多網站以明文形式保存用戶的密碼，而沒有任何加密，當黑客攻擊進入服務器后，就可以直接看到裸露的密碼原文。

　　果殼網“死理性派”主編吳蘇介紹，明文保存密碼相當危險，黑客只要獲得了密碼數據庫，再復雜的密碼，都可以看到。

　　他介紹，現在網站服務器已經有了很普遍的加密方法，叫做哈希函數。比如，英文里“狐貍在冰上跑”和“狐貍在冰上走”兩句話，通過哈希函數一轉化，很快變成了完全讓人摸不著頭腦的組合“52ED879E”和“46042841”。

　　但即使用了哈希函數加密，也不代表無懈可擊。

　　密碼分析學家阮風光說，如果一串被哈希過的密碼被盜，只要密碼過于簡單，黑客同樣可以獲得。

　　通常，黑客手中，都有一份很長的列表，稱為“碰撞庫”，里面儲存的是很多常用密碼對應的哈希值。朱璇介紹，現在網上有專門的網站對哈希值進行破解，根據密碼難度進行收費。“比如要破解admin123，屬于最常用的前1萬個密碼，你只要花1毛錢，如果密碼是123456，就可以給你免費破。”“萬惡之源是密碼過于簡單。”朱璇說。

　　密碼矛盾

　　安全和便利不可兼得

　　“互聯網安全問題分成管理層面和技術層面，密碼安全橫跨兩個層面。”朱璇說。

　　對于網站而言需要考慮的安全因素太多了。比如，開發(fā)代碼中是否存在漏洞，服務器所處的地理位置是否足夠安全，服務器是否有密碼，操作系統是否打了補丁，等等，任何一個環(huán)節(jié)出了漏洞，其他環(huán)節(jié)再安全，也可能被黑客攻進。

　　“一切都是需要花錢的，”阮風光說，“比如你要在服務器中對密碼進行加密，就可能需要雇用有安全背景的人來寫軟件。”

　　目前，科學家和工程師們也在盡量讓身份識別變得更為容易，如生物指紋、或視網膜鑒別等等方式，但即使這些額外的保護措施，同樣需要花錢。“人們得意識到，更高的安全度，就意味著更多的錢。”阮風光說。

　　他表示，計算機科學技術發(fā)展到今天，人們也一直沒解決密碼安全性和便利性的矛盾，始終沒有完美的解決方式。原則上，密碼越長，越安全，可是也越難記住，哪怕記在電腦或者紙上也是不安全的。此外，用戶如果在不同網站使用不同的密碼，也更安全，但是卻很不方便，很難記住這么多的密碼。“要安全，就得舍棄方便，要舍棄麻煩而圖便利，就可能不安全。”本報記者金煜

　　密碼防盜指南

　　1有足夠的安全意識，避免在社會層面受到密碼詐騙。

　　2不同安全等級的網站設不同強度的密碼。對于網銀等和個人利益直接相關的網站，一定要設置超強的密碼。

　　3測試網站的密碼安全性，在注冊一個網站時，如果你輸入密碼“123456”也能通過，這個網站肯定不安全。同樣，對密碼長度沒有要求，不能使用特殊字符，或者無法區(qū)分大小寫的網站的安全性能也不高。

　　4減少使用常用的個人信息，盡量不用自己的生日作為密碼。盡量使用和自己個人信息不相關，或者距離遠的信息。

　　5利用經典密碼學，設置自己的加密“函數”或規(guī)律。比如，你可以選取“不管三七二十一”，抽出其中的數字“3721”，對個別數字進行替換或移位，把“7”變成英文字母中的“L”，把“1”變成英文字母“i”，變成“3L2i”，這樣，密碼就稍微復雜一點。

　　6多組合密碼。搭配各類數字、字母、大小寫、特殊符號的組合，比如一個10位長的隨機密碼，由于常用鍵一共有95個，因此一共會有(95的10次方)種組合，較難在短時間內被“暴力”破解。你可以把“3L2i”加上符號變成“3#L*2i#”。

　　7在你的密碼“3#L*2i#”和另一個人的密碼“123456”之間，黑客肯定首先盜取后者的密碼，一旦一個網站的密碼發(fā)生泄露，你可以比有著簡單密碼的后者擁有更多的時間進行密碼修改。

　　8最后，隔一段時間，換一下自己的密碼，總是能讓密碼更安全的。

　　歷史

　　互聯網開創(chuàng)密碼伴生

　　“互聯網開創(chuàng)第一天，就有了密碼。”清華大學高等研究院訪問學者，密碼分析學家阮風光說。上世紀60年代，互聯網雛形初現，當時的計算機體形龐大，一臺就占據整個機房。

　　由于每臺巨型計算機被很多人共享，為了辨別不同用戶身份，需要設置密碼，這也決定了此后互聯網設置密碼的目的：辨別使用者。

　　事實上，密碼學要比計算機的歷史古老得多。從古羅馬時期開始，各國打仗時就常常使用密文形式來傳輸信息，二戰(zhàn)時密碼技術更是突飛猛進。今天，在小說如《達芬奇密碼》中，我們也時常能讀到讓人心馳神往的密碼破譯故事。

　　中國軟件評測中心高級工程師朱璇介紹，古典密碼學主要有兩個基本原理，即“移位”和“替換”，比如，將數字往后移一位，3變成4,7變成8，或者將字母A換成D，都可以起到加密作用。

　　現代密碼學建立在傳統密碼學基礎上，但增加了大量數學、物理學、計算機科學的內容，其對當前互聯網技術發(fā)展、軍事及國家安全、以及商貿、金融等行業(yè)的發(fā)展起到了至關重要的作用。

　　密碼泄露案例

　　國外發(fā)生過多起嚴重的密碼泄露案件

　　1998年，互聯網安全網站CERT發(fā)現黑客襲擊了18.6萬多個加密密碼，其中，47642個密碼被盜。

　　2009年，社交網站Rock you.com發(fā)生嚴重密碼泄露，3200萬個密碼被盜，其密碼以明文形式在服務器上存儲。

　　2011年，索尼公司連續(xù)遭受四輪黑客襲擊，致使過億用戶信息泄露，這些個人信息中包括用戶賬號密碼、電子郵箱、家庭住址、生日等信息。索尼公司公開致歉，美國聯邦調查局介入。此事成為近年來最大的網絡安全事件。

　　2011年，第一個推行網絡實名制的國家韓國發(fā)生個人信息泄露事件。韓國青瓦臺、外交通商部、國家情報院等國家機構等共40個網站遭到攻擊，造成大量用戶信息外泄。去年年底，韓國廣播通訊委員會提交報告，將逐步取消網絡實名制。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]