电脑使用技巧|专家唬人:电脑每秒可猜1亿以上个密码,你的密码能安全?
【电脑使用技巧|专家唬人:电脑每秒可猜1亿以上个密码,你的密码能安全?】
澳对话网9/15刊发Paul Haskell-Dowland的文章 , 分析计算机对秘密的解破能力 , 给出的能力数据十分惊人 , 让人脊背发凉 , 却似乎也没有什么更好的方法防止 。
本文插图
几千年来 , 密码一直被用作向他人识别我们自己的一种手段 , 而在最近 , 则被用于计算机 。 这是一个简单的概念 , 让人们共享的信息 , 又在个人之间保密 , 并用于"证明"身份 。
信息技术背景下的密码 , 出现在20世纪60年代的大型计算机上或大型集中操作的计算机 , 有远程"终端"供用户访问 。 现在 , 从我们在ATM机上输入的PIN码 , 到登录我们的电脑和各种网站 , 都要用到密码 。 但是 , 为什么我们需要向我们访问的系统"证明"自己的身份呢?为什么密码如此难以正确设定呢?
那么 , 什么是好密码呢?直到最近 , 一个好的密码可能是一个只有六到八个字符的单词或短语 。 但我们现在有了最小长度准则 。 这是因为"熵"的存在 。熵为无序状态测量法 , 是物质系统不能用于作功的能量的度量 。
当谈到密码时 , 熵是衡量可预测性的标准 。 这背后的数学并不复杂 , 我们可以用一个更简单的衡量标准来研究它:可能的密码数量 , 有时被称为"密码空间" 。
如果一个单字符密码只包含一个小写字母 , 那么只有26个可能的密码("a"到"z") 。 如果加入大写字母 , 我们的密码空间就会增加到52个可能的密码 。 随着长度的增加和其他字符类型的添加 , 密码空间不断扩大 。 让密码更长或更复杂 , 会大大增加潜在的"密码空间" 。 密码空间越大 , 意味着密码越安全 。
看了上面的数字 , 我们就不难理解为什么鼓励我们使用大小写字母、数字和符号的长密码了 。 密码越复杂 , 猜测密码所需的尝试次数就越多 。
然而 , 依赖密码复杂度的问题是 , 计算机在重复任务方面效率很高 , 包括猜测密码 。 去年 , 一台计算机试图生成所有可以想象的密码 , 创造了一项纪录 。 它的速度达到了每秒超过1亿次猜测的速度 。 通过利用这种计算能力 , 网络犯罪分子可以用尽可能多的密码组合轰炸系统 , 从而入侵系统 , 这个过程被称为蛮力攻击 。
而通过云端技术 , 猜测一个8个字符的密码只需12分钟就可以实现 , 成本仅为25美元 。 同时 , 由于密码几乎都是用来给敏感数据或重要系统提供访问权限 , 这也促使网络犯罪分子主动寻找密码 。 这也推动了一个利润丰厚的在线密码销售市场 , 其中一些密码还附带有电子邮件地址和/或用户名 。 你可以在网上购买近6亿个密码 , 只需花费14澳元!
现在来看看网站上的密码是如何存储的 。 网站上的密码 , 通常是通过一种叫做哈希的数学算法以受保护的方式存储的 。 散列后的密码是无法识别的 , 也无法变回密码 , 这属于一个不可逆的过程 。
当你尝试登录时 , 你输入的密码会用同样的过程进行哈希 , 并与网站上存储的版本进行比较 。 每次登录时都会重复这个过程 。 例如 , 密码"Pa$$w0rd"在使用SHA1哈希算法计算时 , 会得到 "02726d40f378e716981c4321d60ba3a325ed6a4c "的值 。 自己试试吧 。
当面对一个充满哈希密码的文件时 , 可以使用蛮力攻击 , 尝试密码长度范围内的每一个字符组合 。 这已经成为一种常见的做法 , 以至于有一些网站在列出常见密码的同时 , 还列出了它们的计算哈希值 。 你可以简单地搜索哈希值来揭示相应的密码 。
现在 , 盗卖密码名单的现象非常普遍 , 因此有一个专门的网站--haveibeenpwned.com--可以帮助用户检查自己的账户是否处于"野生"状态 。 这个网站已经发展到包括超过100亿个账户信息 。 如果你的电子邮件地址在这个网站上列出 , 你一定要更改检测到的密码 , 以及在任何其他使用相同凭证的网站上 。
那么 , 更多的复杂性是一个有效的解决方案吗?你会认为每天都有这么多的密码泄露事件发生 , 那我们就去改进我们的密码选择实践 。 不幸的是 , 去年的SplashData年度密码调查显示 , 五年来秘密几乎没有变化 。 2019年SplashData年度密码调查显示了从2015年到2019年最常见的密码 , 变化很小 。
随着计算能力的提高 , 解决方案似乎是增加复杂性 。 但作为人类 , 我们并不擅长 , 也没有动力去记住高度复杂的密码 。 我们也已经过了只使用两三个系统需要密码的阶段 。 现在 , 访问许多网站是很常见的 , 每个网站都需要一个密码 , 通常长度和复杂程度还不同 。 最近的一项调查表明 , 平均每个人有70-80个密码 。
好消息是有工具可以解决这些问题 。 现在大多数电脑都支持在操作系统或网络浏览器中存储密码 , 通常还可以选择在多个设备上共享存储的信息 。 例如 , 苹果的iCloud Keychain以及在Internet Explorer、Chrome和Firefox中保存密码的功能 , 不过有时不太可靠 。
KeePassXC等密码管理器 , 可以帮助用户生成长而复杂的密码 , 并将其存储在一个安全的位置 , 以便在需要时使用 。 虽然这个位置仍然需要保护 , 通常是用一个长长的"主密码" , 但是 , 使用密码管理器 , 可以让你为你访问的每个网站都有一个独特的、复杂的密码 。 然而 , 这并不能防止密码从脆弱的网站上被盗 。 但如果密码被盗 , 你就不必担心在其他网站上更改相同的密码 。 当然 , 这些解决方案也有漏洞 , 但也许这是另一个故事 。
推荐阅读
- 疫苗|西安确诊病例系接种疫苗后感染,专家:不必怀疑疫苗
- 接种疫苗|专家:接种疫苗使世界变得更加美好
- 中国疾控中心|何时能建立免疫屏障,中国疾控中心首席专家回应
- 溯源|新冠病毒溯源研究刻不容缓,中方专家释放大量信息,法国遇大麻烦
- 地球|发生了什么?日美专家透露不好消息,地球或不再适合人类居住
- 甘肃省妇幼保健院|甘肃多学科专家精准施治罕见早产儿重度喉软骨软化
- 糖尿病|糖尿病可以“治”好吗?专家告诉您答案
- 疫苗|接种新冠疫苗后,多长时间才能接种其他疫苗?中疾控专家给出解答
- 疫苗|全球著名疫苗专家保茨博士呼吁:立即停止大规模疫苗接种
- 疫苗|全球知名疫苗专家呼吁:立即停止大规模新冠疫苗接种