| 摘要:LulzSec黑客组织可能终于停止了持续50天的疯狂的黑客活动,这意味着InfraGard、美国参议院、索尼网站及其他机构的用户们晚上可以睡得比较踏实了。但是大家不要因为最近这股黑客活动明显停止而误以为有一种虚假的安全感。 |
据微软前任安全项目经理、现在是亚马逊网站的首席安全架构师Jesper M .Johansson声称,尽管有可能增强安全性,但是否有许多人不厌其烦地使用口令短语还是个未知数。此外,根据一些粗略的估计,他表示人们可能需要使用六个单字长的口令短语--很快开始变得很笨拙,才能获得与9个字符长的密码同样级别的熵(entropy)。最后,在不同网站上重复使用密码的一部分意味着,攻击者只要窃取了用户名和密码组合,就能够通过逆向工程来破解逻辑。
因而,要加强密码安全,最简单、最省事的方法还是干脆把密码记下来,不过最好采用高度安全的方式。漏洞信息提供商Secunia的首席安全官Thomas Kristensen在接受采访时说:"你能做的最明智投入就是去外面买一只数字钱包,把密码装在里面。在不同的网站上重复使用密码根本就是最糟糕的做法。看一下今年所有的网站泄密事件,就会发现存在帐户资料丢失的风险;一旦你的密码公之于众,并与你的电子邮件地址联系在一起,你可能直到有人窃取了东西,才知道密码被人窃取。"
数字密码钱包的另一个优点在于,软件不但让人们很容易保存密码,还很容易创建一个高度随机的强密码。这样一来,为访问的每一个网站维护一个不同的密码就轻而易举。相应地,下一次黑客破解了索尼密码数据库,即使数据库里面含有你的用户名和密码,黑客也无法在其他任何地方来破解这对组合。
然而,数字密码钱包的确意味着要下载、安装和使用另一个软件。Kristensen说:"我知道,这有点讨厌";10年来,他一直在使用名为KeePass的开源应用软件。不过他表示,使用数字钱包完全是一个最佳做法。"它不是完美的解决方案,但是比重复使用密码要安全得多。"
说到安全地存储密码的密码管理软件,现在有众多选择。比如说,英国电信集团(BT)的首席安全技术官Bruce Schneier创建了PasswordSafe,这个易于使用的开源密码数据库面向Windows。这类软件还有苹果OSX版本(比如共享软件Password Wallet也可用于Windows环境)。另一个选择是如上所述的KeePass,它不仅可以在这两款操作系统上运行,还能在Linux上运行。
此外,许多密码钱包会在你的电脑与移动设备之间同步密码,这意味着你总是随身携带着一份安全的、受密码保护的密码和个人身份识别号(PIN)代码。(有必要提一下,人们选择PIN的做法大概比选择密码的习惯还要糟糕。)
总结一下,不妨为每一个重要的网站创建一个独特的、随机的、很长的强密码,以确保密码安全性。然后,把这些密码存放到数字保险箱,确保妥善保存了密码。这么做的话,就不用害怕下一个LulzSec了。
责任编辑:Lily
评论表单加载中...
