本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定反映《大眾科學》的觀點
隨著越來越多的個人業務線上進行,密碼(確切地說是數十個密碼)已成為日常生活中不可避免的麻煩。我們都知道建立良好密碼的規則,或者至少我們希望知道有規則——選擇字母數字組合,不要寫下來,不要在多個帳戶中使用它等等。
儘管有這些指導,“人們不擅長選擇計算機無法猜測的密碼,特別是配備多核處理器的計算機,” 比爾·切斯威克 在最近於 紐約理工學院 舉行的網路安全會議上表示。切斯威克在這個領域具有一定的權威性。除了目前擔任 AT&T Research 技術人員的首席成員外,他還曾在 開發首批防火牆系統 二十多年前發揮了關鍵作用。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關當今塑造我們世界的發現和想法的具有影響力的故事的未來。
這位網路安全先驅回顧了來自多家公司的大約十幾種不同的企業密碼建立策略,並得出結論:“這些規則並不能使任何事情更安全。” 即使是最長和最複雜的密碼,如果落入壞人之手也是無用的。
切斯威克反而提出了他的“非白痴密碼規則”:密碼應該是一個字母數字組合,家人或朋友在五次嘗試內無法猜到,並且應該足夠複雜,以至於一個人無法透過觀看您輸入一次來猜出密碼。如果您需要提醒,與其寫下密碼本身,不如寫下一些可以提醒您密碼的東西。
權衡您要保護的資訊的價值也很重要。切斯威克將其分為三個級別。“誰在乎?” 類別適用於任何僅提供資訊訪問許可權的帳戶,例如線上訂閱《紐約時報》。如果有人竊取密碼,他們最多可以做的是閱讀出版物或填寫調查問卷,因此可以隨意為這些網站重複使用密碼。
其他帳戶值得更多保護,它們的密碼應更謹慎地建立和保管。一個級別是密碼被盜後“不方便”的帳戶,但後果(即有人透過您的 Amazon.com 帳戶訂購書籍)可以透過一些努力來糾正。要求最高級別保護的帳戶是那些使您能夠訪問銀行帳戶、交易股票或以其他方式處理財務事項的帳戶。
當然,壞人有 各種竊取您的登入資訊的方法,並且許多盜竊事件並非密碼持有人的過錯,切斯威克說。密碼被盜的一些最常見方式是透過 鍵盤記錄器、網路釣魚攻擊 和密碼 資料庫駭客攻擊。
鍵盤記錄器通常在人們從不良或受損的網站下載軟體或影像時,在他們不知情的情況下安裝在他們的計算機上。網路釣魚攻擊是透過冒充您的銀行、信用卡提供商或其他看似可信來源的電子郵件進行的。單擊這些虛假電子郵件中的連結會將您帶到同樣虛假的網站,這些網站被建立為類似於銀行或信用卡公司的網站。當您嘗試登入時,您的資訊將被捕獲。駭客經常直接攻擊密碼資料庫(例如金融機構或網際網路服務提供商維護的資料庫),他們可以在其中竊取數十甚至數百個密碼。
在這些情況下,大部分安全負擔落在您的銀行、網際網路服務提供商或任何其他負責保護您的資訊的人身上。他們提高安全性的一種方法是限制密碼猜測次數,如果超過限制則鎖定帳戶。解鎖此類帳戶也應仔細考慮。如果網站提供輔助問題進行身份驗證,則該問題應與密碼相關,而不是與您自己相關,切斯威克說,並指出找出一個人的母親的“孃家姓”並不太困難。
圖片由 Potapova Valeriya 透過 iStockPhoto.com 提供