盤點近年來,與我們生活息息相關,而且能引起大眾的巨大注意和高度警惕的網絡安全問題,筆者認為,非密碼泄露莫屬。
2016年6月初,代號為“peace”的黑客稱拿到了全球第二大的社交網站 MySpace 的3.6億用戶賬號以及4.27億密碼;同年8月,美國國安局遭黑客組織“影子中間人”入侵,盜取大量美國國家安全局網絡“武器庫”,泄露其中部分黑客工具和數據;到了10月,網易過億郵箱數據慘遭泄露,泄露信息包括用戶名、密碼、密碼密保信息、登錄ip以及用戶生日……如此觸目驚心的事實,讓人不寒而栗,今天我們就來聊聊密碼的那些事兒。
“密碼”驗證三兄弟和他們的組合技
狹義的“密碼”指的是我們需要記憶的文字密碼,而從廣義上講,“密碼”作為身份認證的一種方式,除了“思想記憶密碼”,還包括“持有物密碼”以及“獨有特征密碼”。
“我所擁有的東西”就是“持有物密碼”,比如說我們的ID卡,工牌,只有擁有它們,才能證明我是公司員工,可以自由進出公司;
“我的生命體特征”就是“獨有特征密碼”,比如說我們手機上的的指紋鎖,微信登陸的聲音鎖以及各種電影里面出現的虹膜鎖,甚至是腦電波、生物電流、指靜脈構造等都可以作為唯一標示一個人的獨有特征信息;
“我所知道的”就是“思想記憶密碼”,也就是我們常人所理解的要想盡一切辦法背誦下來的文字密碼。
然而以上三種密碼認證方式都有弊端,持有物密碼可能會丟失,就像你家里鑰匙丟了,就會有被人撿到入戶盜竊的風險;獨有特征密碼存在使用困難問題,包括依賴專用傳感器設備和識別準確度問題;思想記憶密碼存在被遺忘甚至無限復制的可能,假設你某天說夢話,把自己的銀行卡賬號和密碼說出來了,那所有聽到的人都有盜取銀行存款的能力。為此,出于更高安全性的考慮,就提出了“多因數認證”的方案,也就是結合兩種或者兩種以上的密碼認證方式進行身份識別。
比如保險箱,需要輸入正確密碼的同時,還需要憑借鑰匙開啟,即同時保持了思想記憶密碼和持有物密碼。類似的,我們經常在項目中經常接觸的賬號密碼+短信驗證碼,即需要我們的思想記憶密碼——帳號密號,也需要我們的持有物密碼——發到手機的驗證碼。由此可見,多重因素的密碼驗證,多了一份保障。
密碼驗證這三兄弟中,就數“思想記憶密碼”用處最為廣泛,問題也最為突出,下面我們就對他進行進一步的討論。
我的密碼相當安全,隨你爆破,若能成功,算我輸!
我們都知道要盡量設置一個足夠復雜的密碼,來防止密碼被輕松破譯,眾所周知的設置復雜密碼的方式是要融合大小寫字母、數字以及符號,那么如何驗證密碼強度呢,我們可以通過“How secure is my password”這個網站進行試驗,當我們輸入密碼時,系統會展示出以現有的計算機運算速率,想要破解該密碼需要的時間。比如,筆者輸入的密碼是“1qaz@WSX>>123”,系統顯示需要4千7百萬年才能夠破譯出來。小小的網站,告訴小白用戶,你的密碼是否安全達標。當然安全起見,真實的密碼還是不宜輸入到類似的網站中。
密碼設置超級復雜,不光計算機爆破不了,我都沒記住
我們要讓我們的密碼變得有意義,這樣才方便記憶!曾經聽過一個“他改了密碼,姑娘說了Yes,I do”的故事,故事主要講述了主人公從最開始厭煩公司每隔30天就要換一次組合了大小寫字母、數字以及符號的密碼的規定,到后來開始將自己近期的目標精簡為密碼,升職加薪最后成功追到心儀姑娘的歷程,可以說密碼策略改變了他的生活。同樣的,我們也可以向榜樣學習,比如說設置自己的密碼為“Sleep@before12”(12點前睡覺)、“Quit@smoking4eve”(永遠戒煙)等等,把你的目標融入你的密碼,既能夠深刻的記憶,同時也可以時刻提醒自己的近期目標,一舉多得。此外,還有人告訴過我,他的密碼是自己近一段時間記不住的英語單詞,搭配上一些簡單的符號,強迫自己每次登錄系統之前背一邊單詞,久而久之,自然記住了。將生活融入密碼,讓密碼提醒自己,既有趣又好記,豈不妙哉。
CAS、CSDN、GitHub、WeChat……根本記不住這么多密碼
顯然,將各個密碼記錄在一個本子上,顯得笨拙且麻煩,安全性很成問題;此外,眾多平臺設置相同的密碼,則更是孤注一擲的愚蠢做法。那么,如何管理用來登錄眾多系統的各不相同的密碼呢?我們需要密碼管家。
事實上,有不少軟件可以提供密碼管理的服務,比如“1Password”目前在 Mac和iOS 上享譽最棒的密碼管理軟件,只是單一平臺單一版本需要差不多百元的費用;而LastPass目前跨平臺做的軟件最棒,它采取密碼保管有兩種方式:上傳服務端和本地端保管(筆者認為從安全性角度應該是本地的,因為開放式的服務端被攻破的概率很高,尤其是這種密碼管理服務,更是黑客們的眾矢之的;目前LastPass服務端被攻破的新聞報道);KeePass則是一款開源免費跨平臺的軟件,可以隨意用,隨意開發,擴展性強,唯一的缺點是UI有些丑。大家可以根據需求和自己可承受的能力對上面三款軟件進行選擇。
以上便是我要分享的關于密碼的分類、逸聞趣事以及相關設置和管理技巧,不要厭煩修改密碼,也不要恐懼丟失密碼,讓密碼設置變得安全,有趣,有意義。
