又看到网络安全事件的新闻了吧?心慌不慌?其实设置和保管好自己的密码,只需要记住这一条标准就可以了。
这条标准就是:一定要设定成自己记不住的密码。
如果你是急性子,现在就可以去实践了。如果你比较喜欢问个究竟,咱们就来解释一下。
这句话看似简单武断,实际上包括了以下3个方面的含义:
- 密码不能有意义;
- 组成密码的各部分不能有意义;
- 一个密码不能重复(或稍作改变)用于多个登录。
你还没走?那就往后看看吧。还会解答“该怎么做”的问题哦。 :-)
密码不能有意义
10几年前,互联网在国内刚刚开始普及化的时候,许多人对密码这个事儿觉得特多余。
我不就是打算上网发个邮件、聊个天儿吗?为什么非得逼着我弄个密码?
可是不设置密码,人家就不让你发邮件,不让你聊天。怎么办?那就填写生日吧。
假设有个网友是1990年1月1日生人,那就写”199011”, “19900101”, “900101” …… 对英语日期格式比较喜欢的可能写成了”01011990”,或者”010190”等。
猜猜看,破解你的密码需要多长时间?以当时最笨的暴力破解方法,也无非是以分钟计。因为对于大部分人来说,破解其密码只需要测试一定长度的阿拉伯数字。
更聪明的破解办法,则根本不用遍历所有的数字,只需要把所有可能的(当时还活着的人的)生日日期格式穷举,就可以最终猜出你的密码。
第一批网民里面,许多人的密码就是这么轻易被破解掉了。
为什么会犯这种错误?因为设置的时候不需要动脑子啊。
罗素(Bertrand Russell)曾经说过一句话,很有道理:
Most people would sooner die than think; in fact, they do so.
组成密码的各部分不能有意义
这么多密码泄露,导致许多网上的新兴活动(例如电子商务、网上支付等)都无法正常进行了。怎么办?网络服务商只好硬着头皮去要求用户提高密码长度的下限,而且不许使用单纯数字或者单纯字母来作为密码了!
政策出来了,用户的对策是什么?
刚才那位出生在1990年1月1日的朋友,假设叫做小明。原先他的密码都是数字,不符合新规定要求。那么他在设定新的密码的时候,便被迫在生日后面(或者前面)加上些字母。
什么字母最好想?自己的名字呗!于是就有了[生日]+”xiaoming”(全称),[生日]+”xm”(缩写), ”xiaoming”+[生日](变化顺序)等若干种组合。
为什么人们倾向于把几个有意义的部分组合成密码?因为人脑的工作记忆能力非常有限,只能记下来7±2的区块。这是认知心理学家George A. Miller于1956年在《心理学评论》上公布的发现。
有意义、好记的东西,不管多长,都可以算作是一个区块儿。同样长度的密码,记忆区块数量越少,就越好记。好聪明哦!
从暴力破解的角度来讲,由于密码长度增长、组成元素种类增加,破解难度一下子就上升了。可问题是,道高一尺魔高一丈,这时候攻击者的武器也改善了。
他们拥有了一个叫做“字典”的东西。对一群人漫天撒网,他们就可以利用“姓名”和“生日”两个字典组合。由于大部分人为了记住密码,采用的组合套路都相似,因此这样的字典攻击可以做到事半功倍。他们并没有指望去破解所有人的密码。对每一个用户的攻击都会在若干尝试时间后停止。对许多攻击者来说,你支付宝里面的钱和土豪银行账户里面的钱是没有差别的,搂草打兔子多多益善,单位时间,多破解几个账户,把钱拿到手里就算成功。
一个密码不能重复用于多个登录
网上的资金流动越来越多,密码易破解带来的麻烦也就越来越大。于是网络服务商只好继续给用户提要求了。这次是你设定密码,一个聪明的程序“守门人”来决定是不是足够复杂。不满足一定的复杂度,你的密码设置就通不过。
许多用户于是被逼着对密码进行各种各样的调整,加入了下划线、百分号等多种特殊字符,颠倒字符顺序、加入大写字母……最后,网页上面这个挑剔的守门人终于“龙颜大悦”——密码强度足够,放行!
你高兴吗?不高兴!因为可费脑子了。赶紧找了张纸写下来,生怕自己忘了这么复杂的东西。
但是拿着这张纸端详,你会觉得自己编出来这么高强度的密码真是个创举。这事儿你又不能跑到微博上面去晒?怎么办呢?得了,以后再遇到密码设定,我就都用它了!足够安全,哈哈。
大错特错。
道高一尺魔高一丈,这时候攻击者的武器又改善了。
人家改玩儿大数据了。
具体点儿说,叫做“撞库”。
从前破解密码,是一个一个网站来。现在不是了,是一堆一堆地做。破解了一个网站,立刻去另一个网站上面对比用户名,见到一样或者类似的,就拿出已获取的密码碰碰运气。随着移动互联网普及,老爷子早起菜市场买菜都要打优步,广场舞大妈都要在微信群发红包啊。既然每个人都有多个账号,那不充分利用一下您那统一的密码多可惜啊?
所以最近伤及无辜的事儿特多。例如有人Facebook账户被破解了,大家质疑Facebook安全措施不力,于是Facebook股价下跌。后来发现真相是事主的Twitter账户之前被盗了,因为密码都一样,所以Facebook也连带攻破。Twitter被认为是罪魁祸首,可再一调查,发现其实几年前事主的Dropbox密码就被拿到了,Twitter也冤枉……
所以,当你端详写在纸上的那个高强度密码的时候,放弃一切的幻想吧。你应该深吸一口气,告诉自己说,“这只是个开始!这样强度的密码,我还得写N个(N取决于你需要登录的网站及应用数量),更重要的是,每隔一段时间(专家建议是30天之内),我还得更新掉原先的密码”。
好了,你明白什么是好密码了吧?
这样的密码你记得住吗?当然记不住。
怎么办?用工具啊。破解者能不断升级自己的工具,我们为什么不行?好的工具可以帮我们设定随机复杂密码,加密高强度记录保存,而且有的还可以帮我们填写用户名和密码。
而你,只需要记一个密码——进入你密码库的主密码——就够了。 :-P
请上网自行搜索密码管理工具,免费的和收费的都有。我这里就不介绍了,免得有广告嫌疑。记住免费的一定要下载用的人多的,收费的一定要用价格高的。原因不解释。 :-P
答疑时间
有人对此很不屑——至于吗?我就喜欢在互联网丛林里面冒险,怎么了?我用了那么长时间简单密码,不也没事儿吗?别唬人了!
从概率的角度,对大多数人来说,你不这么做也未必会马上受到损失。但是你得明白,这就如同不系安全带开车一样,未必会出啥事儿,可一旦出事儿就是大事儿。
等你不幸成为了某次网络安全事件中的受害者的时候,后悔恐怕有些太晚了。
挤地铁公交的时候,许多人会把包挂在胸前。很不美观,但是防盗效果好一些。因为我们知道那里面有几百块钱和自己的手机,所以值得做。
设置门锁的时候,许多人会多花钱买高一级别的锁头,其实也许只能多挡住窃贼几分钟。但是我们心里会踏实一点。因为我们知道屋里有我们的各种家当,所以值得做。
而在这么一个网络化的社会,密码就是我们一个个宝贵网上账户的钥匙。这里面有我们宝贵的隐私信息,有的甚至真的存着真金白银啊!把这些钥匙都配成一样的,还用个最低级的锁头,你怎么就能踏实得了呢?设置好的密码难道真的不值得做吗?