LulzSec黑客組織可能終于停止了持續(xù)50天的瘋狂的黑客活動，這意味著InfraGard、美國參議院、索尼網(wǎng)站及其他機(jī)構(gòu)的用戶們晚上可以睡得比較踏實(shí)了。但是大家不要因?yàn)樽罱@股黑客活動明顯停止而誤以為有一種虛假的安全感。

現(xiàn)在有越來越多的證據(jù)表明，人們偏愛使用很短的、非隨機(jī)性的、因而不安全的密碼——這些證據(jù)包括LulzSec所鉆的眾多漏洞、Gawker去年被黑事件，甚至整整10年來研究Unix用戶選擇密碼的習(xí)慣的調(diào)查。他們還往往在多個網(wǎng)站上重復(fù)使用同一批密碼。其背后的道理很明顯：這樣一來，密碼用起來比較省事。

遺憾的是，這也導(dǎo)致了安全性很差。比如說，只要看一下LulzSec針對隸屬聯(lián)邦調(diào)查局（FBI）的InfraGard的亞特蘭大分支機(jī)構(gòu)發(fā)起的其中一次攻擊，黑客們竊取了成員們的用戶名和密碼組合。然后，那些登錄資料讓LulzSec得以闖入亞特蘭大InfraGard會員Karim Hijazi的辦公和個人Gmail帳戶。Hijazi是個頗有爭議的安全顧問，他是監(jiān)控僵尸網(wǎng)絡(luò)的新興公司Unveillance的首席執(zhí)行官兼總裁。但是連他也重復(fù)使用密碼。

然而，密碼重復(fù)使用還是唯一的問題。另一個威脅是，攻擊者會獲得對網(wǎng)站密碼數(shù)據(jù)庫的訪問權(quán)，因而竊取一份副本。這時(shí)候，就算數(shù)據(jù)庫已加密，攻擊者照樣可以在線下向數(shù)據(jù)庫頻頻發(fā)起攻擊，使用像AccessData公司的Password Recovery Toolkit這樣的工具，在比較短的時(shí)間內(nèi)將密碼破解出來。處理能力不成問題。的確，喬治亞理工學(xué)院的研究人員利用個人電腦內(nèi)置的圖形卡，就能夠立即破解甚至長度在12個字符以下的散列密碼。

喬治亞理工學(xué)院的研究人員建議密碼的長度至少應(yīng)該是12個字符；而且字母、數(shù)字和符號混合使用，這并非巧合。但是誰又記得住為自己使用的每一個比較重要的網(wǎng)站設(shè)置的獨(dú)特的、隨機(jī)性（即高度無序）的12個字符長密碼？

幸好，現(xiàn)在不乏創(chuàng)建很長強(qiáng)密碼的方法。比如說，人們可以使用口令短語（pass phrase）——這些其實(shí)是句子，而不是使用密碼。與此同時(shí)，另一個辦法是使用某種預(yù)定邏輯來創(chuàng)建密碼。比如說，密碼“mniE”是“my name is Earl”（我的名字叫Earl）的簡稱——當(dāng)然在理想情況下，密碼要長得多。這種方法的支持者常常建議使用包含網(wǎng)站名稱的稍加變化的密碼，那樣對某個密碼稍加改動，就可以用于不同的其他網(wǎng)站。比如說，就亞馬遜網(wǎng)站（Amazon.com）而言，稍加變化的密碼可能是“mAMAniE”。

據(jù)微軟前任安全項(xiàng)目經(jīng)理、現(xiàn)在是亞馬遜網(wǎng)站的首席安全架構(gòu)師Jesper M. Johansson聲稱，盡管有可能增強(qiáng)安全性，但是否有許多人不厭其煩地使用口令短語還是個未知數(shù)。此外，根據(jù)一些粗略的估計(jì)，他表示人們可能需要使用六個單字長的口令短語——很快開始變得很笨拙，才能獲得與9個字符長的密碼同樣級別的熵（entropy）。最后，在不同網(wǎng)站上重復(fù)使用密碼的一部分意味著，攻擊者只要竊取了用戶名和密碼組合，就能夠通過逆向工程來破解邏輯。

因而，要加強(qiáng)密碼安全，最簡單、最省事的方法還是干脆把密碼記下來，不過最好采用高度安全的方式。漏洞信息提供商Secunia的首席安全官Thomas Kristensen在接受采訪時(shí)說：“你能做的最明智投入就是去外面買一只數(shù)字錢包，把密碼裝在里面。在不同的網(wǎng)站上重復(fù)使用密碼根本就是最糟糕的做法?？匆幌陆衲晁械木W(wǎng)站泄密事件，就會發(fā)現(xiàn)存在帳戶資料丟失的風(fēng)險(xiǎn)；一旦你的密碼公之于眾，并與你的電子郵件地址聯(lián)系在一起，你可能直到有人竊取了東西，才知道密碼被人竊取。”

數(shù)字密碼錢包的另一個優(yōu)點(diǎn)在于，軟件不但讓人們很容易保存密碼，還很容易創(chuàng)建一個高度隨機(jī)的強(qiáng)密碼。這樣一來，為訪問的每一個網(wǎng)站維護(hù)一個不同的密碼就輕而易舉。相應(yīng)地，下一次黑客破解了索尼密碼數(shù)據(jù)庫，即使數(shù)據(jù)庫里面含有你的用戶名和密碼，黑客也無法在其他任何地方來破解這對組合。

然而，數(shù)字密碼錢包的確意味著要下載、安裝和使用另一個軟件。Kristensen說：“我知道，這有點(diǎn)討厭”；10年來，他一直在使用名為KeePass的開源應(yīng)用軟件。不過他表示，使用數(shù)字錢包完全是一個最佳做法?！八皇峭昝赖慕鉀Q方案，但是比重復(fù)使用密碼要安全得多。”

說到安全地存儲密碼的密碼管理軟件，現(xiàn)在有眾多選擇。比如說，英國電信集團(tuán)（BT）的首席安全技術(shù)官 Bruce Schneier創(chuàng)建了PasswordSafe，這個易于使用的開源密碼數(shù)據(jù)庫面向Windows。這類軟件還有蘋果OS X版本（比如共享軟件PasswordWallet也可用于Windows環(huán)境）。另一個選擇是如上所述的KeePass，它不僅可以在這兩款操作系統(tǒng)上運(yùn)行，還能在Linux上運(yùn)行。

此外，許多密碼錢包會在你的電腦與移動設(shè)備之間同步密碼，這意味著你總是隨身攜帶著一份安全的、受密碼保護(hù)的密碼和個人身份識別號（PIN）代碼。（有必要提一下，人們選擇PIN的做法大概比選擇密碼的習(xí)慣還要糟糕。）

總結(jié)一下，不妨為每一個重要的網(wǎng)站創(chuàng)建一個獨(dú)特的、隨機(jī)的、很長的強(qiáng)密碼，以確保密碼安全性。然后，把這些密碼存放到數(shù)字保險(xiǎn)箱，確保妥善保存了密碼。這么做的話，就不用害怕下一個LulzSec了。

admin

收藏 海報(bào)分享