2/26/2010

小心你送出的密码

新闻来源:七叶 原创
如果你的密码是大小写英文数字混合,长度也超过八位,又绝对性的不会被人猜出,电脑上的安全措施做得天衣无缝,是否就安全了呢?这里得遗憾的告诉你,不 能,永远不能。在这里我们将探讨将探讨我们在不经意间填写送出的密码。 我们的密码 针对大多数人,我们可能会记忆 1-5 个密码。比较普遍的情况是两个计算机密码,两个数字密码。其计算机的两个密码,一个适用于大多数的情况中,如 Windows 登录密码、网站密码、QQ 密码等;另一个密码被称为二级密码,适用于某些网站的二级密码、支付密码或安全码。而数字密码,在国内一般是六位数字,被用于银行卡、移动通信账户、股票 基金账户中,有些银行还会区分查询密码、取款支付密码等。根据不同情况,我们会有更多密码需要记忆。

安全措施 这些密码轻则关系到我们的账户所有权,重则关系到身份盗用、财产安全等。我们一般所熟悉的安全措施如:保证操作系统及时更新、使用防毒软件、使用如密码保 险箱类软件、良好上网习惯、不易猜测的密码、各类字符混用的密码等。当然,大部分人对以上这些良好习惯都没有做到,还有许多人在使用诸如姓名、电话号码、 生日的类似密码。
这些安全措施针对的就是最常见的盗号方式,如木马截取、猜测、暴力破解等。然而,还有更危险的事情……

潜在的威胁 我们生活在这样一个密码的时代,银行、手机、网站、邮箱、游戏、软件……永远都没完没了的密码,试想半年之后如果你为确保安全一次修改所有使用的密码,你 可能要忙上大半天,或是遗漏掉某些,而如果两年之后你登陆某早起注册的网站,你可能要试验四到五个密码,也许还没有成功登陆!

这也只是针对我们自身使用的难题,而如果密码的泄露,我们可能会丢掉所有东西!

我们多多少少都曾遇到过例如"中奖"的虚假信息,诈骗者多以各种方式骗取汇款,而还有一种是骗取诸如QQ、游戏、邮箱密码,其网站精美程度,程序的完 美,400的客户热线……随时都在迷惑你的眼球。骗子们老套的方法用上三五年都没有过时,傻子看来还够用。如果将密码主动提供给对方,泄露的就不止一个账 号。暂且假设读者们都没有上当受骗,那我们要不要庆幸:"我火眼金睛,那些伎俩骗不了我!"?请不要得意,这不是我们今天的重点。

设想我们注册过的非诈骗的正常网站,某游戏,某网站,某论坛……我们的眼睛与头脑告诉我们,这不是骗子。加上某些网站的心理与应用引导,我们有可能急匆匆 的注册这些网站。少则几个几十个,多则累计到几百个……我们的重点在这里。

有半数的网站与开源程序在其密码储存方面设置了不可逆哈希加密,如 MD5、SHA1 算法,使密码储存后只可对比验证不可查看原文。不过较简单的 MD5 密码也有某些破解字典网站,不能确保其完全安全。而开源程序中的密码加密,开发者与网站所有者也可以轻易移去,比如我们最常注册的论坛程序。如果网站所有 者、开发者或其他工作人员有意盗取密码,便可轻易从数据库获取。而如果被黑客入侵盗用数据库,密码一样被泄露。

如果我们在 100 个网站注册时填写了同样的密码,其中一份资料的丢失,便是剩下 99 份的丢失。

密码丢失的后果 大部分网站注册时必填项包括用户名和 Email,有些网站同时需要真实姓名、生日,甚至身份证号码。

如果密码获取者获得的 Email 密码正确,丢失邮箱可能是最大风险。涉及到我们的个人隐私、工作隐私,还有关联的其他注册资料!如一部分网站注册后会发送注册用户名、时间、密码、详细资 料到注册者的 Email,或是定期的通知和电子杂志,盗取者通过这些资料,可获取到用户的其他注册信息。

此外最大风险的就是诸如支付宝、网银的电子财产密码。众所周知,支付宝大多用户以 Email 注册,同时可以通过 Email 找回密码,丢失了邮箱,也就是丢失了支付宝,如果账户中有余额即可被轻松转走。而网上银行如今大多登陆成功也无法交易,需电子证书或口令卡。当然不排除有 部分读者把银行数字证书、口令卡存在邮箱。

剩下的还有游戏的虚拟装备与虚拟游戏币等,部分职业玩家可能游戏账号就具有一定价值。

我们此时也不难理解国内各类密保卡的出现,以及腾讯作为国内最艰难的密码受害者所推出的一系列措施。笔者见过某网站的登录需要输入 2 个密码,验证数字子证书后,还要验证密保卡与手机验证码(缺一不可)。
难以找回的密码 密码如被修改,主要找回途径是网站的密码找回功能,但找回往往不简单。

中国网民存在低端用户较多的问题,用户对互联网的不重视、不信任,都会造成填写虚假资料的现象,其密码提示资料乱填的不在少数,往往丢失时找回困难。而中 国丢失帐号频率最高的也恰恰是这些低端用户。

大部分网站密码找回手段只有一种,就是 Email 或密码问题,而如果恰恰这种方式无法使用。剩下的就是通过证件直接求助于网站所有方,但其手续麻烦,而填写虚假资料或不提供该服务的网站,到最后只能放弃 帐号。

还有一些荒唐的情况。如某些网站找回密码时,让用户选择密码提示问题,再填写答案;有些则是使用"安全码",安全吗不易记忆,而且终身不可修改;有些需要 填写注册的详细资料,一字不差;还有的干脆没有找回密码的功能或无法使用。

继续改善密码 或许我们不得不重视密码问题,因为我们没有办法去完全的鉴别网站对我们密码的保护程度。或许我们身边某个大型网站便是明文密码的收集者。

最简单的方法,便是不同网站使用不同密码。在没有更好的选择之前,建议根据网站的重要程度设置不同密码。网银与电子钱包使用最高级别密码,其次邮箱使用另 一密码。剩下对不重要的密码再另行设置。对密码管理,有诸如 KeePass 类的产品,但往往依赖电脑使用,而每个网站都使用不同的随机密码更不现实。还有初期上网者将密码写在小本子上,但一旦丢失便是所有密码的丢失。此外,根据 网站的不同。用户可以使用多个不同的用户名或邮箱,这在安全防范上也有一定作用。

信任一家密码托管商 OpenID 技术便是针对该问题的最佳理论解决方案,这类似某些网站的通行证。不同的是使用一个帐号或 URL,可以登录所有提供 OpenID 接口的站点,可以申请 OpenID 的服务商如 MyOpenID。同时也有类 OpenID 的出现,如 Google、Yahoo、人人、Live 等。

遗憾的是,尽管 OpenID 的服务托管商已经很多,但大多网站并未支持 OpenID。此外,虽然 OpenID 可以让你一个帐号游遍所有 OpenID 接口站点,也帮你解决了改几百个密码的问题,但是你必须完全信任你的密码托管商!因为密码的托管商同时可以控制所有用户的帐号,被使用你慎重不会有察觉。 另外,如果丢掉了你的 OpenID,也是丢掉了所有密码。

面对未来的更多密码 我们只会使用越来越多的密码。密码问题永远不会有最终解决的一天。

如果未来政府或第三方信任机构,规范了相关标准,提供了密码和个人资料的同意托管,无疑是没办法的最好办法,而这也要用户改变习惯,并且对其信任。我们都 晓得信任国家和信任国债是两回事。
而数字证书与生物识别技术如可以普及,也是解决密码问题的重大进步。但当下显然还有很长的路要走,笔者各银行的 USB 证书就已经有 6 个,如钥匙一样挂成一串。

明天的路得走了才知道,今天请务必小心你的密码!