IT技术

893

拜托,不要再帮黑客来猜我的密码了

2013-4-12 11:30| 发布者: liio| 评论: 2

近段时间来,有很多起闹得沸沸扬扬的黑客攻击事情(并且成功了)。单单在 2012 年,就有数百万的账号哈希密码和其他敏感信息被窃取:

  • Zappos:2400万账号密码和邮件地址暴露
  • Global Payments:150 万信用卡号码暴露
  • LinkedIn:650 万哈希密码别窃,其中很多都是没加“盐”
  • eHarmony:150 万哈希密码暴露
  • Last.fm:密码被盗
  • Yahoo:45万密码泄露,明文密码啊
  • (译注:上面还只是国外的部分,至于国内的密码泄露事件,在2011年12月份非常集中,CSDN、多玩、51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等众多网站都陷入泄露丑闻。因为其中不少都是明文密码,所以也就催生了很多明文密码的段子。)

现在,我相信你明白了,你的信息从来都不安全。你在某家网站上输入信用卡号码和密码,你是想着他们会已经采取了必要的安全防护措施来保障这些信息。不过悲哀的是,大量企业并没有像样的安全实践。

事实上,最恶劣的罪犯,不仅不安全地存储你的密码,而且他们还阻止你适当保护自己。在一些列泄露事情中,哈希密码都公之于众了,有一个极为安全的密码,才是保护自己的唯一途径。通常来说 ,一个安全的密码,由随机字母、数字、特殊字符组成,甚至也可以包括你能记住的长句子。问题是,并不是所有的网站都允许使用这种安全密码。

看看下面这个例子:

我欣赏你给的建议,但我并不认为,在你不允许我设置超过30个字符或在密码中使用空格的情况下,你就没有资格来给建议,没资格教我怎么使用一个安全密码。

XKCD 有一张漫画,建议用户想出一个随机字符串、能记住的单词,来生成一个简短的句子,用作密码。在那个网站上,“correct horse battery staple” 都可以用作为密码,但是你就要撞上限制了。如果你想用字数稍微更长些的密码呢?

Password Strength

好吧,对于一些社交网站或不大重要的服务,30 个字符已经足够了,但是如果我想在 Ribbon 上卖东西呢?

另一个密码长度限制。在这种情况下,有一个安全尤显重要了,毕竟是和钱打交道了。我可不想有人来访问我的账号,把钱转到他们的Paypal账号。

说到 Paypal,来看看他们的密码策略吧,

Paypal不错。用来处理钱的服务,要连接银行账号、信用卡、地址和其他个人信息,最高要求用 20 个字符长度的密码。至少他们还建议使用特殊字符了。

不过有些银行的密码规则就有点太荒谬了。

实际上美国银行(Bank of America)就是最恶劣的罪犯之一。虽然他们密码长度上限是20个字符,但他们居然要求用户的密码别使用空格和一些特殊字符。如果发生了密码泄露事情,感觉他们会让我的密码更容易猜到。

The Good

幸运的是,有一些服务在帮助安全领域。

WordPress.com 就是一个好例子。他们不仅接受长达50个字符的密码(包括特殊字符、数字和大小写字母),他们还有一个辅助工具,点击一次,就可以生成一个包括特殊字符、数字和大小写字母的50字符的高强度密码。

也还有很多应用用来生成随机密码。1Password、 LastPass(尽管在2011年曾经有一次针对LastPass的攻击)就是其中的很好例子。个人而言,我在 Mac 和 iPhone 上都用了 1Password,非常棒。我的密码不仅是随机的,而且每个网站的密码都不相同。如果我注册的网站中有一个站点被拖库了,黑客也没机会用相同密码去访问我注册的其他网站。

What Needs to be Done

开发人员需要培养一下安全意识,这就好比疾病和公共卫生,如果人人都了解了不合理安全防护的危险后,安全领域中的问题也会更少些了。由于社会工程和其他利用人性的策略,还是会有数据泄露事件。不过如果能合理结果 加盐与散列、安全密码和双重身份认证,将会大大降低大规模数据泄露的危险。

像双重身份认证的安全措施或许要费些力气去实现,但这里有个每位开发人员都能做的简单活:

移除注册表单上那愚蠢又武断的限制,让我能用任何我想要的密码。毕竟,你又不会明文存储我的密码,所以你数据库中那个 VARCHAR(30) 就不那么重要了,是不?


鲜花

握手

雷人

路过

鸡蛋
游客 2017-3-18 00:30
Sleep apnea is a very difficult thing to live with, both for the sufferer and for people living and sleep with him or her. If you fit into e ...
游客 2013-12-19 16:26
傻孩子```你可以试试构造一句SQL语句来当密码``然后`所有人的密码你都有了`
验证问答 换一个 验证码 换一个

查看全部评论(2)

Archiver|Rerede.com     

GMT+8, 2017-8-17 21:46

Powered by R-Team X2

© 2011-2012 Rerede.com.

回顶部