Sprite @ 2014.06.15 , 11:48
40

是时候和密码说再见了

# 小编:最近我的银行卡密码网银登录密码阿里旺旺登录密码支付密码煎蛋登录密码火星密码各网站密码都混了,网银各种被锁,快疯了,完全记密码无能啊

[-]
&Copy; Shutterstock.com/pic-176881694/stock-photo-password.html?src=qtv31QrC--zoxeK5S__-pw-1-62">Shutterstock

是时候告诉大家这个残忍的事实了:其实密码这个概念已经不复存在,它目前存在的最大作用就是用于保护你那台1987年产的IBM电脑不被人偷。

上个月,ebay声称用户密码数据被黑了,随后一周 Bit.ly 也发表了同样的声明,而且他们绝对不是唯一的受害者,Adobe和 Linkedin 在过去几年也饱受黑客的摧残。你对此的反应可能是“尼玛又被盗了?"“被盗了? 所以呢?”好问题,我们可以首先来看黑客是如何盗取密码的。

好消息是,黑客没法解密的密码,因为使用当前水平的计算机是无法解密现在的密码的(你哭着对我说,电视里都是骗人的),如果你的密码保管妥当的话,即使网站本身也是不能解密的。所以有些聪明的网站并不会去解密,而是储存加密的字符串。这就意味着当你输入一个类似于“我的密码”之类的密码时,网站就会破译并且把这个密码储存为91dfd9ddb4198affc5c194cd8ce6d338fde470e2这一串字符。当你再次登录该网站时,网站就会为你的密码加密,并且和数据库中的字符串进行对比。

虽然好消息是黑客不能破译你的密码,但是坏消息是,黑客压用不着去破译,他们用猜的就可以。比如新盗了一个用户账号,他们就会用例如“开膛手杰克”的密码破解器来猜,而且猜的又快又准。一般黑客使用的密码破解器不仅仅包括自定义密码猜测软件和巨大的曾用密码数据库,还包括能在一小时内破解数以万计的密码的改进显示卡,可以猜测出像Coneyisland9/” 和 “momof3g8kids之类的复杂密码。

但是黑客不知道的是什么呢?他们不知道你宝宝的名字,他们不知道你家狗狗的名字,不知道你车的型号和生产地。他们所能作的只是在一秒钟内猜80亿次看下是否能猜对。如果你的ebay账号包含任何这些容易识别的密码的话,很有可能已经被破解了。黑客破解这些密码后干嘛呢?在破解了LinkedIn的用户密码后,他们把密码放在网上,任何人都能用。

也许你会问,这又怎样?只是一个LinkedIn的密码而已,他还能怎样?画个圈圈诅咒我不成?好吧,如果你的LinkedIn密码组合仅仅是用于这个网站的话,那确实不能怎么样,但是,凡事总有例外对吧?事实上很多人都有这个习惯,各个网站密码设置的都是一样的。这也就意味着一旦一个网站的密码被破译后,黑客可以用这个密码登录其他的网站。这样会带来什么后果? 看下面Oleg Pliss的例子。

澳大利亚的苹果用户一觉醒来后发现他们的苹果设备都被一个自称是Oleg Pliss的人锁住了, Oleg通过这些人的 iCloud 账户锁住了他们的手机并且要求50刀的解锁费用。Oleg是如何进入这些人的iCloud 账户呢?后续的种种调查都显示这些受害者在其他网站的密码都盗了,很显然他们的iCloud 账户使用的密码和那些网站的密码相同,于是让Oleg 有机可乘。总而言之,重复使用相同的密码简直就是一场噩梦。下面几条建议可以帮助大家更好的防止此类事情发生:

1. 使用双重认证

双重认证意味着想要登录某网站的话同时需要密码以及手机认证。当你设置了双重认证,黑客即使能破译你的密码也无法进入你的账户。Google, Facebook, Twitter, Apple,越来越多的网站都为用户提供了双重认证。有选择的话那就选双重认证吧。

2. 使用密码管理器

密码有个致命伤:需要人去记。这就限制了人的创造力,他不能使用jL+$9u;V82ihuUJsZKCq这样的复杂密码,而只能使用1234567890这样简单好记的密码。而且因为每个密码都要记,很多人就会选择使用同一个密码。密码管理器很好的解决了这个问题。你只需要记得密码管理器这一个密码,剩下的所有密码管理器来帮你记。

3. 密码再见

不知道为什么密码会变成21世纪计算机安全机制的中心,但是很明显密码已经过时了。我们需要进入安全保护的下一个时代,由密码管理器和双重验证来保证我们的账户安全。Oleg Pliss这类人可能不高兴密码时代的终结,但是对于我们来说,对此却毫无留恋。

本文译自 dailydot.com,由译者 Sprite 基于创作共用协议(BY-NC)发布。

# 相关:零交互授权技术,不用密码也能保安全

给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:
4.6
赞一个 (1)

TOTAL COMMENTS: 40+1

  1. 不要翘
    @4 years ago
    2438939

    密码记在一张纸上其实很实用 的,要不就用LassPast记住!

    [投诉] [16] XX [5] 回复 [0]
  2. 嗚哇~
    @4 years ago
    2438941

    當所有人都不去學習computer security的時候, 全世界都很安全. 可是一個人學了之後, 所有人都不安全了

    [投诉] [80] XX [4] 回复 [0]
  3. zhangcs
    @4 years ago
    2438942

    KeePass用户路过,现代社会确实是离开密码寸步难行

    [投诉] [16] XX [1] 回复 [0]
  4. 疾风追雪
    @4 years ago
    2438946

    考虑到数据可以用复制传输的模式进行盗取,这样一来用虹膜或者指纹也是没有用处的(毕竟这些信息都是储存在硬盘中的电子数据),那么,怎么分辨登陆者是否是本人呢。。。。我认为,还是需要进行。。。。
    OK,大家好,我是疾风追雪,很高兴和大家见面,其实我是个黑客,其实我不是疾风追雪,好吧,其实我只是闲得无聊登陆了他的账号而已。。。

    [投诉] [5] XX [18] 回复 [0]
  5. 兔子
    @4 years ago
    2438947

    密码写纸上

    [投诉] [4] XX [5] 回复 [0]
  6. bronze
    @4 years ago
    2438948

    和密码说再见?现在还不是时候

    [投诉] [6] XX [7] 回复 [0]
  7. 饿了
    @4 years ago
    2438954

    怎么感觉还是得用密码…

    [投诉] [6] XX [5] 回复 [0]
  8. 不要翘
    @4 years ago
    2438997

    @兔子: @bronze: @饿了: 你们三个是自己点的OO吧!

    [投诉] [3] XX [17] 回复 [0]
  9. wwww
    @4 years ago
    2439000

    keepass密码能弄多长弄多长,要多复杂有多复杂,

    [投诉] [1] XX [0] 回复 [0]
  10. 郝尔沁
    @4 years ago
    2439002

    用不着那么复杂的东西吧,我一般的网络账户只用 密钥 就可以。比较重要的账户的密钥也就是 加前后缀进行加密。 资金账户也就使用 掩码加密而已。 感觉用密码太麻烦,每次还得翻译一遍才行~脑子不好记不住。
    我有个哥们记性比我好,他家里的WIFI的密钥是 128位的…我一直没有能够完整的记下来

    [投诉] [8] XX [3] 回复 [0]
  11. zen
    @4 years ago
    2439004

    我自己的密码忘了要试半天搞不好还要申诉,黑客只用1秒就猜了80亿次

    [投诉] [40] XX [1] 回复 [0]
  12. 路人
    @4 years ago
    2439005

    keepass + 纸笔 的路过

    [投诉] [0] XX [2] 回复 [0]
  13. K·T
    @4 years ago
    2439018

    说出来不怕你们笑话……我曾经的一个志向就是去当职业杀手,专门去杀那些网络游戏盗号的……

    [投诉] [28] XX [1] 回复 [0]
  14. Snokye
    @4 years ago
    2439021

    http://www.qiquzu.com/177980
    20分钟后就被转载

    [投诉] [4] XX [1] 回复 [0]
  15. 123
    @4 years ago
    2439024

    小编是小白吗?开始的部分以密文形式存储密码,小编说网站没法破解,扯淡一样。只要网站愿意,用户申请或登录时,网站随时可以备份一份明文密码,但只有少部分网站这样做而已。

    另外存储密文形式黑客就破解不了吗?只能说小编很小白。网站被托库后,彩虹表上来,大部分用户的密码都能跑出来。

    最后的什么双重认证,密码管理器。这几种方法现在的银行卡,淘宝都再用,不是照样被盗。只能说安全性相对提高了而已。

    [投诉] [3] XX [92] 回复 [0]
  16. ol1
    @4 years ago
    2439028

    密码管理器被黑了怎么办..
    那不就等于我帮黑客打了个包方便他外带吗…

    [投诉] [4] XX [1] 回复 [0]
  17. 阿帕奇
    @4 years ago
    2439039

    使用硬件密匙

    [投诉] [0] XX [0] 回复 [0]
  18. 大菠萝
    @4 years ago
    2439042

    @123:
    小编是编辑,搞翻译的,交配可能很擅长,但是真的这是篇翻译文章,他们不擅长网络密码管理。
    你擅长就好好帮小编补充补充,在这大吼小编小白是不明智的。例如,你知道国内一般窗台规范最低高度是多少么?什么样的建筑才叫超高层建筑?建筑规划红线蓝线分别是什么?这些对于建筑学的人来说太基础了,但是你不知道吧?这叫术业有专攻,没必要炫耀。

    [投诉] [147] XX [4] 回复 [0]
  19. 黃瓜愛菊花
    @4 years ago
    2439046

    lastpass表示什麽密碼都是渣

    [投诉] [0] XX [0] 回复 [0]
  20. 123
    @4 years ago
    2439051

    @123: 我是你的复制体

    [投诉] [2] XX [0] 回复 [0]
  21. 哈哈
    @4 years ago
    2439052

    表示有一段时间什么密码都忘了,好在有找回密码

    [投诉] [1] XX [0] 回复 [0]
  22. 地豆
    @4 years ago
    2439053

    。。。

    [投诉] [1] XX [0] 回复 [0]
  23. 刻骨铭SUN
    @4 years ago
    2439060

    不如跟该死的二维码说再见

    [投诉] [1] XX [0] 回复 [0]
  24. _l0_0l_
    @4 years ago
    2439104

    还好我的手机不是水果,机智的人脸解锁君

    [投诉] [0] XX [0] 回复 [0]
  25. 哎呦哇啦
    @4 years ago
    2439125

    好记性不如烂笔头

    [投诉] [0] XX [0] 回复 [0]
  26. 人形立牌
    @4 years ago
    2439127

    密码可以这么设置,网站前2位+固定密码

    譬如ja123456然后每个网站都不一样了。

    [投诉] [2] XX [3] 回复 [0]
  27. 疾风追雪
    @4 years ago
    2439144

    @123: 炫什么炫

    [投诉] [0] XX [2] 回复 [0]
  28. aac
    @4 years ago
    2439231

    好不好用个指纹密码~~接收指纹的位置设置在鼠标左右侧

    [投诉] [0] XX [0] 回复 [0]
  29. woody
    @4 years ago
    2439251

    最后都剩下手机号动态登陆,突然世界就安静了许多…

    [投诉] [1] XX [0] 回复 [0]
  30. 七七八八
    @4 years ago
    2439275

    要是密码管理器被黑了怎么办0.0

    [投诉] [0] XX [1] 回复 [0]
  31. Dhgvyg
    @4 years ago
    2439283

    密码都没用了,为什么还是有验证码

    [投诉] [0] XX [0] 回复 [0]
  32. Para
    @4 years ago
    2439287

    XKCD里说四个好记的单词连在一起的破译难度远远大于一个很难记的单词加数字变形体。。。

    [投诉] [3] XX [0] 回复 [0]
  33. why
    @4 years ago
    2439487

    友情链接:
    http://jandan.net/2013/05/29/crackers-make-minced.html

    [投诉] [0] XX [0] 回复 [0]
  34. vsz
    @4 years ago
    2439945

    记不起密码很正常~这是超弦空间共振导致的哟~其实你本人已经被另一弦内的你替换了!

    [投诉] [1] XX [0] 回复 [0]
  35. qler
    @4 years ago
    2439983

    @大菠萝: 我不明白为什么大家那么同情小编,以致@123: 唯一的oo都是我点的。我赞同123说的对,小编就是小白。大菠萝说的貌似有道理,但小编翻译这一类的文章的时候,就没想过要仔细查查这方面的知识或者问问专业点的朋友吗?并且,小编都已经发出来了,123在评论里面更正有错?这叫“大吼小编”?

    [投诉] [2] XX [19] 回复 [0]
  36. 马克思
    @4 years ago
    2440069

    @qler: 是不是小编每次发不同种类的译文都要把那方面的知识研究透才能发出?

    [投诉] [5] XX [2] 回复 [0]
  37. OlingCat
    @4 years ago
    2440194

    @qler: 如果不说小编是小白,把反问句改成陈述句,那么ooxx估计会反过来,我们需要的仅仅是指正,而不需要嘲笑。

    [投诉] [6] XX [2] 回复 [0]
  38. 世界的第八天
    @4 years ago
    2440362

    @大菠萝: 他说的小便有可能是指原作者,煎蛋是搬运工只能说是译者了,再说我们能进步就是因为有人分享出自己的知识,指出对方不对的地方。怎么能说是炫耀呢?除非你喜欢被人骗一辈子.还居然有这么多人点赞

    [投诉] [1] XX [5] 回复 [0]
  39. aza
    @4 years ago
    2441093

    @疾风追雪: 有算法可以保证数据离开你的电脑后不被中间人攻击,最著名的一个是https协议,可以截取,但是里面重要数据可以由公钥算法加密,中间人无法解读,任何修改会导致这份数据失效。所以也可以认为是安全的。银行就是这样干的。

    关于文中那个存密码的办法,我03年写asp的时候就是这样存的了,现在还是这样啊……当时用的md5

    唔,其实我心目中的安全密码应该是像一把钥匙一样的实物,就如一把钥匙开一扇门,就像现在银行的u盾,我觉得应该可以做得更通用,或者集成到手机里面,具体可以使用信用卡的内部算法防止复制……如果用户把它丢了,那就走挂失补办的流程……彻底抛却人类的密码使用习惯才是安全之本,黑客其实很多时候都是攻击人类本身习惯,算法是无懈可击的。如果是128位以上完全随机的密码,想猜也没办法猜的。

    另外,我觉得虹膜和指纹数据其实也未必安全,也有可能失窃的,而且一个人就十指头两虹膜,想换都换不了。

    [投诉] [0] XX [0] 回复 [0]
  40. aza
    @4 years ago
    2441096

    唔,说到双重验证,我觉得用户面孔+手机内部集成的防复制的密码钥匙模块……这个样子的就是我想要的了。不用输入密码,用硬件来完成这个功能,这样子除非是黑客偷了你的手机,然后用你的照片骗过摄像头,而你又没有及时挂失的情况下,才会出问题,这样子对黑客素质要求就高多了……哈。

    [投诉] [0] XX [0] 回复 [0]

发表评论


24H最赞