互联网上保护我们账号的就是那一连串的密码,短的6位字符,长的16位。里面有你的银行账户、信用卡号码、家庭住址,甚至你的裸照。但在2012年,我们听过数次黑客在网站上公布用户名和密码的事故。
一. 密码多长都没用
比如今年夏天黑客在一个小时内毁掉了我所有的数字生活,我的Apple, Twitter, 以及 Gmail 3个账号的密码长度分别是7、10、19位,但因为这三个账号是相关连的,黑客只要破解了一个,就可以通过重设密码破解其他的账户。Twitter账号@mat被破解后,黑客进入我的Apple账号把我所有的iDevice数据都擦拭了,一想到我那么多信息和文件一瞬间就没了,我觉得有必要声讨一下当代在线密码安全的问题。
举个例子,如果你在AOL上有账号,黑客只需到Google上搜索你的真实姓名和居住城市,AOL上回答对了这些信息就可以重设密码了。进去后第一件事就是要搜索你的在线银行账号,然后点击忘记密码—重新设置—登录账户,然后黑客有了你的银行账户和邮件地址。
而今年夏天,我自己学会了如何获取别人密码的方式,在一个粗略的国外网站,两分钟内花4美元,可以汇报出你的信用卡、电话、社会安全号码和你的家庭住址;再给我5分钟,可以登录你的Amazon、 Best Buy、Hulu、Microsoft、以及 Netflix账号了;再多10分钟,可以接管你的AT&T、Comcast、 Verizon账号;再给20分钟,就拥有你的Paypal账号了。
而这些账户被黑的关键都是因为密码的脆弱性,不管你的密码多复杂,多长,只要有人存心破解就一定没问题。
二. 为什么被破解?
过去数十年密码制度运行地好好的,因为当时要保护的资料很少,有需要的也就是一个电子邮件的ISP, 一两个电子商务网站,那时几乎没有什么数据储存在云端。但是后来大合作系统来了,电子邮件地址逐渐演变成一种通用登录账号,登陆云端App用这个也没问题了,然后我们在云端开网银账号、管理金融、交税,上传照片、文件、私密数据,让各大网站替他们托管网站的数据,而网站主采取的对策就是采用“加强版”密码。
但问题是,每个安全网站加密都需要达到两个基本条件:第一,要简单,如果因为密码太长太复杂会让登陆变成一种负担,这种安全也就没有意义了。第二,是隐私,整个系统要被设计得很周密来保护数据隐私。数年后字符和数字混排的“加强版“密码也能花几百万被破解, 比如2011年Sony PlayStation的数据库被黑,公司被迫花了1.71亿美元来重建它的网络来保护用户账户,但加上负面影响带来的损失,一次被黑就能带来近十亿美元的经济灾难。
三. 在线密码是如何被破解的?
1. 猜测 2. 密码转储 3.蛮力破解 4.安装键盘记录软件 5. 打客服电话重设密码
1)猜测举例 安全专家Mark Burnett表示用户使用频率第一位的密码是“password”, 第二位是“123456”, 这里的问题不是居然有用户傻到使用这种密码,而是各网站系统居然还允许用户设置这么简单的密码!还有的用户喜欢重复使用一个密码,过去两年,LinkedIn, Yahoo, Gawker, 以及 eHarmony被黑后晒到网上的用户民和密码中,居然有49%的用户在两个网站以上使用相同密码。
2)安装键盘记录软件举例 当时最为著名的是钓鱼网站,希普利能源董事会的一位成员就遭遇过。黑客先发一封邮件,点击里面的链接跳出一个伪造的网站(比如AOL),等她登录时,后台恶意软件记下了账号和密码,然后浏览了里面所有的信息,获得了银行账户,电子行为习惯、短语习惯,最后冒充她给她的会计师要求电汇12万美元到澳大利亚的一家银行,等她发现的时候,已经有8万9千美元被转走了。还有就是恶意软件安装的时候附带键盘记录软件,一般这种组织都是大型的行窃组织,当时著名的例子是ZeuS软件。
3)打客服电话重设密码举例,黑客给Apple ID客服打电话,告诉他们我的家庭住址和信用卡后四位数请他们重新设置我的密码,因为Apple ID是Gmail的支持邮件地址,他们又重设了Gmail密码,然后连串的账号,最后在我的Twitter账号上发表抨击同性恋、强烈种族主义的言论。在我的事件发生后,Apple取消了电话重置密码,但是不久后纽约时报的专栏作家 David Pogue就被黑客通过网络重置密码成功,当时他设置的安全问题是3个,(1) 我第一辆汽车是什么牌子? (2) 我最喜欢的汽车牌子? (3)2000年1月我在哪?前面两个Google可得,第3个是新年时期,就像其他人一样,应该是在“Party”,黑客一下子就猜中了,如此防不胜防!
四. 所以我们目前能做的就是
不要重复使用密码 ;不要用字典里的有序单词;不要使用标准的数字替换:P455w0rd 这类型的破解工具已经在创建了;不要用短密码 “h6!r$q”很快就能被破解了;
用验证码的网站总比没有的好;设置安全问题时不要用真实答案,比如你的住址、你的第一辆汽车牌子;删掉网上你的各种电话、身份证、家庭住址信息;重要账号重设安全号码的邮件要唯一、安全
五. 而最令我们恐怖的是
做这些事情的人不是海外黑客集团就是无聊的孩子。2012年早期Cosmo旗下的组织UGNazi黑了纳斯达、美国中情局、4chan网站,袭击了迈克尔·布隆伯格、奥巴马、 奥普拉·温弗瑞的私密信息,但是FBI在6月逮捕的时候才发现他才15岁!而海外集团,以2011年俄罗斯黑客为例,他们通过网络犯罪获取了45亿美元的非法收入,还跟俄国黑手党联合,他们变得有组织、产业化、暴力化。
最后,我不得不宣告密码时代已经过时了,已经挡不住黑客的无所不用其极了,但是它的未来在哪里?