@ 2014.06.15 , 11:48

是时候和密码说再见了

# 小编:最近我的银行卡密码网银登录密码阿里旺旺登录密码支付密码煎蛋登录密码火星密码各网站密码都混了,网银各种被锁,快疯了,完全记密码无能啊

[-]
&Copy; shutterstock

是时候告诉大家这个残忍的事实了:其实密码这个概念已经不复存在,它目前存在的最大作用就是用于保护你那台1987年产的IBM电脑不被人偷。

上个月,ebay声称用户密码数据被黑了,随后一周 Bit.ly 也发表了同样的声明,而且他们绝对不是唯一的受害者,Adobe和 Linkedin 在过去几年也饱受黑客的摧残。你对此的反应可能是“尼玛又被盗了?"“被盗了? 所以呢?”好问题,我们可以首先来看黑客是如何盗取密码的。

好消息是,黑客没法解密的密码,因为使用当前水平的计算机是无法解密现在的密码的(你哭着对我说,电视里都是骗人的),如果你的密码保管妥当的话,即使网站本身也是不能解密的。所以有些聪明的网站并不会去解密,而是储存加密的字符串。这就意味着当你输入一个类似于“我的密码”之类的密码时,网站就会破译并且把这个密码储存为91dfd9ddb4198affc5c194cd8ce6d338fde470e2这一串字符。当你再次登录该网站时,网站就会为你的密码加密,并且和数据库中的字符串进行对比。

虽然好消息是黑客不能破译你的密码,但是坏消息是,黑客压用不着去破译,他们用猜的就可以。比如新盗了一个用户账号,他们就会用例如“开膛手杰克”的密码破解器来猜,而且猜的又快又准。一般黑客使用的密码破解器不仅仅包括自定义密码猜测软件和巨大的曾用密码数据库,还包括能在一小时内破解数以万计的密码的改进显示卡,可以猜测出像Coneyisland9/” 和 “momof3g8kids之类的复杂密码。

但是黑客不知道的是什么呢?他们不知道你宝宝的名字,他们不知道你家狗狗的名字,不知道你车的型号和生产地。他们所能作的只是在一秒钟内猜80亿次看下是否能猜对。如果你的ebay账号包含任何这些容易识别的密码的话,很有可能已经被破解了。黑客破解这些密码后干嘛呢?在破解了LinkedIn的用户密码后,他们把密码放在网上,任何人都能用。

也许你会问,这又怎样?只是一个LinkedIn的密码而已,他还能怎样?画个圈圈诅咒我不成?好吧,如果你的LinkedIn密码组合仅仅是用于这个网站的话,那确实不能怎么样,但是,凡事总有例外对吧?事实上很多人都有这个习惯,各个网站密码设置的都是一样的。这也就意味着一旦一个网站的密码被破译后,黑客可以用这个密码登录其他的网站。这样会带来什么后果? 看下面Oleg Pliss的例子。

澳大利亚的苹果用户一觉醒来后发现他们的苹果设备都被一个自称是Oleg Pliss的人锁住了, Oleg通过这些人的 iCloud 账户锁住了他们的手机并且要求50刀的解锁费用。Oleg是如何进入这些人的iCloud 账户呢?后续的种种调查都显示这些受害者在其他网站的密码都盗了,很显然他们的iCloud 账户使用的密码和那些网站的密码相同,于是让Oleg 有机可乘。总而言之,重复使用相同的密码简直就是一场噩梦。下面几条建议可以帮助大家更好的防止此类事情发生:

1. 使用双重认证

双重认证意味着想要登录某网站的话同时需要密码以及手机认证。当你设置了双重认证,黑客即使能破译你的密码也无法进入你的账户。Google, Facebook, Twitter, Apple,越来越多的网站都为用户提供了双重认证。有选择的话那就选双重认证吧。

2. 使用密码管理器

密码有个致命伤:需要人去记。这就限制了人的创造力,他不能使用jL+$9u;V82ihuUJsZKCq这样的复杂密码,而只能使用1234567890这样简单好记的密码。而且因为每个密码都要记,很多人就会选择使用同一个密码。密码管理器很好的解决了这个问题。你只需要记得密码管理器这一个密码,剩下的所有密码管理器来帮你记。

3. 密码再见

不知道为什么密码会变成21世纪计算机安全机制的中心,但是很明显密码已经过时了。我们需要进入安全保护的下一个时代,由密码管理器和双重验证来保证我们的账户安全。Oleg Pliss这类人可能不高兴密码时代的终结,但是对于我们来说,对此却毫无留恋。

本文译自 dailydot.com,由 Sprite 编辑发布。

# 相关:零交互授权技术,不用密码也能保安全

赞一个 (2)