黑客专家教你如何设计不易破解的密码

淡淡体味

黑客专家教你如何设计不易破解的密码

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：3353 回复：0

美国一家密码管理应用提供商SplashData 公司近期总结出2012年度最差的25个密码，美国《纽约时报》作家尼克尔·佩尔荣斯近日撰文指出，密码要想不被黑客猜中，有几点非常重要的注意事项。以下为文章全文： 从 事网络安全文章写作不久，我就变成了一个嘲笑从前的自己的偏执狂。每天，黑客们不停地提醒我，窃取我的个人数据太容易了。不到几周时间，我为每家网站的账 号设置了独特的、复杂登陆密码，并为自己的电子邮箱账户设置两重认证程序。我甚至给计算机的摄像头贴上了胶带纸——朋友和同事建议我该去看心理医生了。 但是最近的一些事情终于为我洗冤。我撕掉摄像头的胶带，没几天就发现指示灯变绿了。这说明有人入侵我的计算机，正虎视眈眈地监视我。最近，谷歌发来的短信，内含Gmail帐户的第二步验证码。问题是我根本没登陆帐户，干嘛要第二次验证？很明显，黑客试图闯入我的邮箱。 被黑太容易了，你只需要点击一个含有病毒的链接或者附件就中招。大公司的计算机系统每天都遭受黑客的袭击。黑客们将窃取的密码放到黑市上交易，每个可获得20美元的收入。黑客最喜欢用诸如“约翰开膛手”（John the Ripper）之类的免费密码破解程序，它每秒可以尝试数百万次密码登陆。 每 个人一生中总会遭受几次黑客入侵。我们唯一能做的就是管理好密码，逃避可疑的链接。不幸的是，良好的密码设置习惯就像牙线剔牙——你知道它的重要性，但需 要持之以恒，付出努力。想想看，为每一个新闻网站、社交网站、电子商务网站、银行网站、企业网站和电子邮件帐户想出唯一的、难以破解的密码并把它们全部记 住是件多有挑战的事情啊。 为了解决这个问题，我给耶利米·格罗斯曼（Jeremiah Grossman）和保罗·科克（Paul Kocher）打电话咨询。格罗斯曼先生是个知名黑客，他第一个公开演示如何通过浏览器控制一台电脑的摄像头和麦克风。目前，格罗斯曼供职一家互联网和网 络安全公司。科克先生是著名的密码学专家，以巧妙攻击安全系统而闻名。他现在经营一家安全公司，专注于提高系统抵御黑客的能力。以下是他们给出的建议： 不要靠字典中的单词：如果你的密码可以在单词书中找到，那就和没有一样。黑客们经常借助词典以及词汇的变体测试密码。如果你不属于这一类，他们通常就会放弃。 一个密码绝对不要使用两次：人们喜欢在不同的网站使用同一密码，这可让黑客有了可乘之机。如果你的LinkedIn账户遭泄露，可能没什么损失；但他们会利用该密码尝试你的电子邮箱、银行账户等一切存储资产及重要个人数据的地方。 设置密码短语。密码越长，破解的时间也越长。如果不想让黑客在24小时内能破解你的密码，密码长度应该超过14个字符。因为长密码难于记忆，可考虑用喜欢的电影台词、歌词或一首诗的首字母拼接在一起。 胡乱敲击键盘：对于敏感的账户，格罗斯曼先生建议随机乱敲键盘，并间或敲击Shift和Alt键，然后将结果复制到一个文本，存入一个有密码保护的U盘。 安 全存储你的密码。不要将密码放在收件箱或桌面。如果恶意软件感染电脑，你就完蛋了。格罗斯曼先生将密码文件存入加密U盘，使用帐户时，他把这些密码复制粘 贴过去。即便黑客利用键盘记录软件，同样无法捕捉到他的密码。科克先生则把密码提示保存一张纸上，把敏感的信息和互联网彻底隔离。 不 要依赖密码管理器。密码保护软件可使用户将所有用户名和密码存储在同一区域。有些程序还能为你创建强大的密码，只要你输入主密码，就能帮你自动登录网站。 如LastPass、SplashData和AgileBits等等。科克先生认为，即使加密后，密码仍然留在计算机里。如果电脑遭到盗窃，等于丢失所有 密码。而且密码管理器不一定靠谱，今年初在阿姆斯特丹举行的安全会议上，黑客们就演示了破解手机密码管理器的技术。 安 全问题最好答非所问。网站的验证问题经常问道“你最喜欢什么颜色？”“你在哪所中学就读？”，这些问题的答案局限性太大，很容易在互联网上找到。今年初， 一名黑客利用米特·罗姆尼（Mitt Romney）最喜欢的宠物的名字破解其Hotmail和Dropbox帐户。比较安全的做法是密码提示和问题无关。如果安全问题问出生医院的名称，你的 回答可以是最喜欢的歌词。 使用不同的浏览器。格罗斯曼先生强调，不同的网络活动要用不 同的浏览器。选择一个浏览器做乱七八糟的事情，如浏览网上论坛、新闻网站、博客等不重要的事情。第二个浏览器用于登录网上银行或收发电子邮件。这样浏览器 被攻击后，银行帐户就不一定会泄露。Accuvant Labs去年研究发现，在其所调查的火狐、谷歌Chrome及微软Internet Explorer浏览器中，Chrome最安全。 别乱分享你的信息。科克先生强调说，不要经常利用真实的E-mail地址注册网上帐户。很多“一次性”e-mail地址是最佳选择，如10minutemail.com提供的地址，用户注册、确认在线账户后，这些电子邮件地址会自我销毁。