现在有越来越多的证据表明,人们偏爱使用很短的、非随机性的、因而不安全的密码--这些证据包括LulzSec所钻的众多漏洞、Gawker去年被黑事件,甚至整整10年来研究Unix用户选择密码的习惯的调查。他们还往往在多个网站上重复使用同一批密码。其背后的道理很明显:这样一来,密码用起来比较省事。
遗憾的是,这也导致了安全性很差。比如说,只要看一下LulzSec针对隶属联邦调查局(FBI)的InfraGard的亚特兰大分支机构发起的其中一次攻击,黑客们窃取了成员们的用户名和密码组合。然后,那些登录资料让LulzSec得以闯入亚特兰大InfraGard会员Karim Hijazi的办公和个人Gmail帐户。Hijazi是个颇有争议的安全顾问,他是监控僵尸网络的新兴公司Unveillance的首席执行官兼总裁。但是连他也重复使用密码。
然而,密码重复使用还是唯一的问题。另一个威胁是,攻击者会获得对网站密码数据库的访问权,因而窃取一份副本。这时候,就算数据库已加密,攻击者照样可以在线下向数据库频频发起攻击,使用像Access Data公司的Password Recovery Toolkit这样的工具,在比较短的时间内将密码破解出来。处理能力不成问题。的确,乔治亚理工学院的研究人员利用个人电脑内置的图形卡,就能够立即破解甚至长度在12个字符以下的散列密码。
乔治亚理工学院的研究人员建议密码的长度至少应该是12个字符;而且字母、数字和符号混合使用,这并非巧合。但是谁又记得住为自己使用的每一个比较重要的网站设置的独特的、随机性(即高度无序)的12个字符长密码?
幸好,现在不乏创建很长强密码的方法。比如说,人们可以使用口令短语(pass phrase)--这些其实是句子,而不是使用密码。与此同时,另一个办法是使用某种预定逻辑来创建密码。比如说,密码"mniE"是"my name is Earl"(我的名字叫Earl)的简称--当然在理想情况下,密码要长得多。这种方法的支持者常常建议使用包含网站名称的稍加变化的密码,那样对某个密码稍加改动,就可以用于不同的其他网站。比如说,就亚马逊网站(Amazon.com)而言,稍加变化的密码可能是"mAMAniE"。 [page] 据微软前任安全项目经理、现在是亚马逊网站的首席安全架构师Jesper M .Johansson声称,尽管有可能增强安全性,但是否有许多人不厌其烦地使用口令短语还是个未知数。此外,根据一些粗略的估计,他表示人们可能需要使用六个单字长的口令短语--很快开始变得很笨拙,才能获得与9个字符长的密码同样级别的熵(entropy)。最后,在不同网站上重复使用密码的一部分意味着,攻击者只要窃取了用户名和密码组合,就能够通过逆向工程来破解逻辑。
因而,要加强密码安全,最简单、最省事的方法还是干脆把密码记下来,不过最好采用高度安全的方式。漏洞信息提供商Secunia的首席安全官Thomas Kristensen在接受采访时说:"你能做的最明智投入就是去外面买一只数字钱包,把密码装在里面。在不同的网站上重复使用密码根本就是最糟糕的做法。看一下今年所有的网站泄密事件,就会发现存在帐户资料丢失的风险;一旦你的密码公之于众,并与你的电子邮件地址联系在一起,你可能直到有人窃取了东西,才知道密码被人窃取。"
数字密码钱包的另一个优点在于,软件不但让人们很容易保存密码,还很容易创建一个高度随机的强密码。这样一来,为访问的每一个网站维护一个不同的密码就轻而易举。相应地,下一次黑客破解了索尼密码数据库,即使数据库里面含有你的用户名和密码,黑客也无法在其他任何地方来破解这对组合。
然而,数字密码钱包的确意味着要下载、安装和使用另一个软件。Kristensen说:"我知道,这有点讨厌";10年来,他一直在使用名为KeePass的开源应用软件。不过他表示,使用数字钱包完全是一个最佳做法。"它不是完美的解决方案,但是比重复使用密码要安全得多。"
说到安全地存储密码的密码管理软件,现在有众多选择。比如说,英国电信集团(BT)的首席安全技术官Bruce Schneier创建了PasswordSafe,这个易于使用的开源密码数据库面向Windows。这类软件还有苹果OSX版本(比如共享软件Password Wallet也可用于Windows环境)。另一个选择是如上所述的KeePass,它不仅可以在这两款操作系统上运行,还能在Linux上运行。
此外,许多密码钱包会在你的电脑与移动设备之间同步密码,这意味着你总是随身携带着一份安全的、受密码保护的密码和个人身份识别号(PIN)代码。(有必要提一下,人们选择PIN的做法大概比选择密码的习惯还要糟糕。)
总结一下,不妨为每一个重要的网站创建一个独特的、随机的、很长的强密码,以确保密码安全性。然后,把这些密码存放到数字保险箱,确保妥善保存了密码。这么做的话,就不用害怕下一个LulzSec了。
