LulzSec黑客组织可能终于停止了持续50天的疯狂的黑客活动,这意味着InfraGard、美国参议院、索尼网站及其他机构的用户们晚上可以睡得比较踏实了。但是大家不要因为最近这股黑客活动明显停止而误以为有一种虚假的安全感。
现在有越来越多的证据表明,人们偏爱使用很短的、非随机性的、因而不安全的密码——这些证据包括LulzSec所钻的众多漏洞、Gawker去年被黑事件,甚至整整10年来研究Unix用户选择密码的习惯的调查。他们还往往在多个网站上重复使用同一批密码。其背后的道理很明显:这样一来,密码用起来比较省事。
遗憾的是,这也导致了安全性很差。比如说,只要看一下LulzSec针对隶属联邦调查局(FBI)的InfraGard的亚特兰大分支机构发起的其中一次攻击,黑客们窃取了成员们的用户名和密码组合。然后,那些登录资料让LulzSec得以闯入亚特兰大InfraGard会员Karim Hijazi的办公和个人Gmail帐户。Hijazi是个颇有争议的安全顾问,他是监控僵尸网络的新兴公司Unveillance的首席执行官兼总裁。但是连他也重复使用密码。
然而,密码重复使用还是唯一的问题。另一个威胁是,攻击者会获得对网站密码数据库的访问权,因而窃取一份副本。这时候,就算数据库已加密,攻击者照样可以在线下向数据库频频发起攻击,使用像AccessData公司的Password Recovery Toolkit这样的工具,在比较短的时间内将密码破解出来。处理能力不成问题。的确,乔治亚理工学院的研究人员利用个人电脑内置的图形卡,就能够立即破解甚至长度在12个字符以下的散列密码。
乔治亚理工学院的研究人员建议密码的长度至少应该是12个字符;而且字母、数字和符号混合使用,这并非巧合。但是谁又记得住为自己使用的每一个比较重要的网站设置的独特的、随机性(即高度无序)的12个字符长密码?
幸好,现在不乏创建很长强密码的方法。比如说,人们可以使用口令短语(pass phrase)——这些其实是句子,而不是使用密码。与此同时,另一个办法是使用某种预定逻辑来创建密码。比如说,密码“mniE”是“my name is Earl”(我的名字叫Earl)的简称——当然在理想情况下,密码要长得多。这种方法的支持者常常建议使用包含网站名称的稍加变化的密码,那样对某个密码稍加改动,就可以用于不同的其他网站。比如说,就亚马逊网站(Amazon.com)而言,稍加变化的密码可能是“mAMAniE”。
据微软前任安全项目经理、现在是亚马逊网站的首席安全架构师Jesper M. Johansson声称,尽管有可能增强安全性,但是否有许多人不厌其烦地使用口令短语还是个未知数。此外,根据一些粗略的估计,他表示人们可能需要使用六个单字长的口令短语——很快开始变得很笨拙,才能获得与9个字符长的密码同样级别的熵(entropy)。最后,在不同网站上重复使用密码的一部分意味着,攻击者只要窃取了用户名和密码组合,就能够通过逆向工程来破解逻辑。
因而,要加强密码安全,最简单、最省事的方法还是干脆把密码记下来,不过最好采用高度安全的方式。漏洞信息提供商Secunia的首席安全官Thomas Kristensen在接受采访时说:“你能做的最明智投入就是去外面买一只数字钱包,把密码装在里面。在不同的网站上重复使用密码根本就是最糟糕的做法。看一下今年所有的网站泄密事件,就会发现存在帐户资料丢失的风险;一旦你的密码公之于众,并与你的电子邮件地址联系在一起,你可能直到有人窃取了东西,才知道密码被人窃取。”
数字密码钱包的另一个优点在于,软件不但让人们很容易保存密码,还很容易创建一个高度随机的强密码。这样一来,为访问的每一个网站维护一个不同的密码就轻而易举。相应地,下一次黑客破解了索尼密码数据库,即使数据库里面含有你的用户名和密码,黑客也无法在其他任何地方来破解这对组合。
然而,数字密码钱包的确意味着要下载、安装和使用另一个软件。Kristensen说:“我知道,这有点讨厌”;10年来,他一直在使用名为KeePass的开源应用软件。不过他表示,使用数字钱包完全是一个最佳做法。“它不是完美的解决方案,但是比重复使用密码要安全得多。”
说到安全地存储密码的密码管理软件,现在有众多选择。比如说,英国电信集团(BT)的首席安全技术官 Bruce Schneier创建了PasswordSafe,这个易于使用的开源密码数据库面向Windows。这类软件还有苹果OS X版本(比如共享软件PasswordWallet也可用于Windows环境)。另一个选择是如上所述的KeePass,它不仅可以在这两款操作系统上运行,还能在Linux上运行。
此外,许多密码钱包会在你的电脑与移动设备之间同步密码,这意味着你总是随身携带着一份安全的、受密码保护的密码和个人身份识别号(PIN)代码。(有必要提一下,人们选择PIN的做法大概比选择密码的习惯还要糟糕。)
总结一下,不妨为每一个重要的网站创建一个独特的、随机的、很长的强密码,以确保密码安全性。然后,把这些密码存放到数字保险箱,确保妥善保存了密码。这么做的话,就不用害怕下一个LulzSec了。