仅仅在十年前,包括Hotmail账户和AIM证券账户在内,用户的密码安全都没有受到很好的保护。最近一段时间以来,几乎每一家大公司的个人数据都爆出 了安全危机。《纽约时报》、Facebook、Gmail等等,都曾经遭受到过黑客的攻击。虽然这些公司都采取了各种措施来保护这些大量的敏感数据,包括 信用卡、地址、通信方式等等。但是,自从计算机密码发明这50多年来,安全人员和开发人员一直都想彻底解决密码安全问题,并且遏止住这有点一发不可收拾的 势头。
第一代计算机密码系统,是在1961年由美国麻省理工学院通过兼容分时系统(CTSS)创造,而这也成为了今天我们所有使用的计算机密码系统的基础。CTSS系统旨在通过相同处理器的计算机搭建独立控制平台。这样,每个开发人员一个人就可以控制整个系统的安全。
“关键的问题是,我们虽然设置了多个终端,并且由多个人员使用,但是每个人都有属于自己的私人文件。”CTSS项目负责人Fernando Corbato在接受《连线》杂志采访时表示。“分别锁定每位用户的密码似乎是一个非常简单的解决方案。”
这些第一代的密码是非常简单和容易保存的,因为在当时复杂的黑客网络攻击和密码破解程序还不存在,但是尽管这样这个系统也非常容易被“蒙混过关”。在1962年,CTSS研究员Allan Scherr博士将所有储存在计算机中的密码打印了出来,因此比他之前每周只被分配四小时的时间相比,拥有了更多的使用权。
“有一种离线文件打印请求,通过提交带有账号编号和文件名字的硬纸穿孔卡片,”Scherr在一份关于CTSS记录文档中写到。“在周五的晚上我提交打印密码文件的申请,而要到周六早上才打印成功,并且就摆放在外面。如果愿意的话,任何人都可以继续盗取这些密码信息。”
随着操作系统变得更加复杂,使用范围更加广泛,关于密码安全的重视程度也变得越来越高。著名黑客Robert Tappan Morris的父亲、前美国国家安全局科学家Cryptographer Robert Morris开发出了一种单项加密函数的UNIX操作系统,被命名为“hashing”。而他的儿子Robert Tappan Morris,后来作为著名的黑客,发明了第一个能通过网络传播臭名昭著的蠕虫病毒。而老Morris编写的“hashing”系统并不会将实际密码储存在计算机系统中,这样信息就不容易被黑客攻击。老Morris的加密策略,似乎已经实现了剑桥大学在60年代提出的发展构想。
而现代基于UNIX开发的系统,比如Linux在早期的时候使用了更安全的散列算法。如今,“salting”密码在通过密码功能之前会被添加独特的字符,并且可以增加抵御防护攻击的能力。
然而,虽然数以百计的常用散列密码仍然是加密的,但是依然可以被猜出。在过去的几年中,黑客们曾经攻击了包括Linkedln和Gawker的服务器,并且更容易的破解出了加密的密码。
“在网络发展的过程中,我们都会使用互联网,而密码工作也发着的相当不错。”《连线》杂志编辑Mat Honan作为一位黑客攻击的受害者在2012年写道。“这很大程度上是由于他们并没有多少数据需要保护。因为在云端服务器上,几乎没有多少个人信息。而随着云技术的兴起,越来越多的黑客开始将目光转向了大公司的系统服务器。”
现在,就算从我们最喜欢的电视节目网站上,也能够看到我们的个人资料,包括信用卡号码以及所有受密码保护的资料。而大公司的疏忽则一再让悲剧发生。
首先,即使是在现在,仍然并不是所有网站都对密码数据进行加密,,一些程序仍然用“明文标示”的方式储存秘密。而这就意味着他们现在的系统与几十年前相比并没有任何进步。如果一旦被某个黑客入侵了网站的服务器,那么成千上万的密码和所有需要保护的个人数据,都在瞬间就会暴露在黑客面前。
黑客们通常根据人类的通性和习惯去猜测密码。根据针对2013年几次大规模的密码泄露事件的调查报告显示,有76%的网络入侵是通过用户账户的途径。在通常的情况下,一旦黑客获取了某个人的一个账户密码,而这个用户的其它账户密码也非常危险。因为大多数人不同的账户都会使用相同的密码或一些出现频率非常高的简单密码(一些常用词汇会不可避免的被当成密码)。而这种名为“字典攻击”(Dictionary attacks)的方式可以通过周期性尝试字典中的高频词汇,毫不费力的破解这些简单的密码。
因此,大多数的网站都要求用户使用更复杂的组合,并且在密码之后还要求身份验证。例如,用户最好以大小写字母、数字和特殊符号来组成密码,并且建议用户针对不同的网站使用不同的密码。
但是目前互联网用户平均每天要访问25个涉及密码登录的网站,而分别记住这些至少14位的不同密码对于普通用户来说是一个巨大的脑力负担。
而现实状况则是,目前普通用户的密码不仅不安全,有些甚至一定作用都没有,大多数用户只是随意敷衍的设置密码。一位长期从事国家网络身份安全战略研究的高级顾问Jeremy Grant在接受Mashable网站采访时表示:“虽然12位至18位的复杂密码具有高度的安全性,但是从可用性的角度上来说,大多数人并没有这个耐心。相反,他们只有一两个简单的密码,并且到处使用。”
即使是最安全的密码也很容易遭受到大量的策略性攻击,包括暴力破解在内。当黑客或计算机通过恶意程序周期性的手动将所有可能的字母、数字与字符组合进行组合,同样存在破解密码的可能性。而为了访问私人数据和收集个人资料,黑客们还有可能冒充用户的目标网站来引诱用户填写自己的地址、电话号码和账号密码的敏感信息。从而更加轻松的获取用户的个人账户信息,这就是所谓的钓鱼网站。即使是最复杂的密码,一旦用户在这些假网站中输入一遍,都可以轻易的欺骗用户骗到密码。
而这也难怪比尔·盖茨曾经早在2004年就宣布通过密码保证安全的方法已经死亡。
世界没有永久的冬天;不要讨厌麻烦,
