摘要:LulzSec黑客组织可能终于停止了持续50天的疯狂的黑客活动,这意味着InfraGard、美国参议院、索尼网站及其他机构的用户们晚上可以睡得比较踏实了。但是大家不要因为最近这股黑客活动明显停止而误以为有一种虚假的安全感。 |
遗憾的是,这也导致了安全性很差。比如说,只要看一下LulzSec针对隶属联邦调查局(FBI)的InfraGard的亚特兰大分支机构发起的其中一次攻击,黑客们窃取了成员们的用户名和密码组合。然后,那些登录资料让LulzSec得以闯入亚特兰大InfraGard会员Karim Hijazi的办公和个人Gmail帐户。Hijazi是个颇有争议的安全顾问,他是监控僵尸网络的新兴公司Unveillance的首席执行官兼总裁。但是连他也重复使用密码。
然而,密码重复使用还是唯一的问题。另一个威胁是,攻击者会获得对网站密码数据库的访问权,因而窃取一份副本。这时候,就算数据库已加密,攻击者照样可以在线下向数据库频频发起攻击,使用像Access Data公司的Password Recovery Toolkit这样的工具,在比较短的时间内将密码破解出来。处理能力不成问题。的确,乔治亚理工学院的研究人员利用个人电脑内置的图形卡,就能够立即破解甚至长度在12个字符以下的散列密码。
乔治亚理工学院的研究人员建议密码的长度至少应该是12个字符;而且字母、数字和符号混合使用,这并非巧合。但是谁又记得住为自己使用的每一个比较重要的网站设置的独特的、随机性(即高度无序)的12个字符长密码?
幸好,现在不乏创建很长强密码的方法。比如说,人们可以使用口令短语(pass phrase)--这些其实是句子,而不是使用密码。与此同时,另一个办法是使用某种预定逻辑来创建密码。比如说,密码"mniE"是"my name is Earl"(我的名字叫Earl)的简称--当然在理想情况下,密码要长得多。这种方法的支持者常常建议使用包含网站名称的稍加变化的密码,那样对某个密码稍加改动,就可以用于不同的其他网站。比如说,就亚马逊网站(Amazon.com)而言,稍加变化的密码可能是"mAMAniE"。