近期数家外国媒体刊出最不安全密码的文章,360等国内的安全厂商在此之后也相继公布了国内安全性较差的密码安全、加密和安全口令等话题一时间成为人们热议的话题。本文从密码历史、密码的选择、流行的加密种类和加密原理对密码相关的知识进行概述。以供读者能掌握密码相关的基本知识,更好的保护自己的数据。
密码概念及产生
密码是按特定法则编成,用以对通信双方的信息进行明密变换的符号。换而言之,密码是隐蔽了真实内容的符号序列。就是把用公开的、标准的信息编码表示的信息通过一种变换手段,将其变为除通信双方以外其他人所不能读懂的信息编码,这种独特的信息编码就是密码。
人类使用密码的历史悠久,在古代战争中人们已经学会将信息进行加密后送出到达目的地再进行解密,这种方法有效的保护了信息的安全。中国古代最常见的加密方式便是拿米水在纸上写字,然后图上碘液提取信息。著名童话阿里巴巴与四十大盗中的芝麻开门应该算是一个标准的语音口令了。随着互联网和通讯技术的发展,现在密码的应用几乎随处可见。
由于密码的广泛使用,且往往是数据保护的重要措施之一,其安全性不言而喻。现在网络上常用的密码都是由英文字母、数字和常见的符号等构成。长度一般为6到15位之间。通过10位左右的字符做一个容易记忆、便于输入又不容易被猜到的密码一直是个人、安全专家和黑客研究的重点。研究人员假设一名熟练黑客利用计算机每秒能够生成1万亿个密码组合。在这种情况下,黑客需耗费180年破解一个11位密码。但如果用户使用12位密码,以目前技术水平,黑客得耗费17134年才能破解。
多账户的密码安全
- 问题
为不同的帐号制定不同的密码,最少要做 到安全要求较高的账户密码与其他密码不同。由于当下即便是一个普通的网络用户也可能有QQ、社交网站、邮箱、网银等账户,很多用户为了记忆方便将不同的账 户密码定成一个统一的或者一组相近的字符串。这是相当危险的策略,因为一些网站的安全级别本身比较低,容易被黑客攻破,黑客攻击这类网站的目的一般不是窃 取用户在该网站上的隐私,而是截获用户的账号和密码,然后用这些信息去试着登录该用户其他的重要账户。这样一来难以攻破的加密方式被有效的避过。以此思想 推测,如果你的QQ和另外一个不安全网站的密码是同一串字符,黑客就可以通过窃取不安全的网站上你的账号信息然后找到你的QQ最终登录你的QQ。
- 解决策略
这 种情况我们需要做的是为每一个账户制定一个独立的密码。这是最安全的策略,其弊病是帐号较多的时候不易于管理。用户可以采取的策略是将自己的账户按安全要 求进行分组,网银、网络账户等非常重要的账户密码需要单独制定,尽量避免相同或类似密码出现。QQ、邮箱等安全要求没有网银密码要求高,但是仍需精心制 定,这类账户的特点是对密码安全等级比较高同时密码更换频率比较高,比较好的解决方案是制定一个简单易记密码生成的机制。比如一个自己写的函数将日期和账 户种类都做成参数加进函数中。如此可以在一定程度上解决密码安全问题。
密码本身的安全度不够
- 问题
黑 客很多时候会采用密码词典配以告诉计算机的方式对用户密码进行暴力破解,此时用户密码本身的安全等级相当重要。很多用户不重视密码安全等级随意的使用电话 或者iloveyou这样的非常容易被猜到的密码,最后造成严重的后果。国内外近日公布的最易破解的密码中大部分是纯数字组合、顺序字母加上简单的数字、 有实际意义的单词或者句子作为帐号的密码。方便记忆的同时,这些密码隐藏的隐患不容忽视。
- 解决策略
对 此很多专家研究相关的密码制定策略,很多人都尝试在记忆难度和安全等级之间找一种平衡。在此说明几点比较有效的密码制定策略,第一:密码长度。一般来说网 络账户可设定的密码在6到20位之间,长度在12位左右可以做到方便记忆又有比较高的等级;第二:丰富密码中字符的种类。密码应该尽量避免纯数字或者纯字 母的组合。密码一般可以包含数字、字母(区分大小写)以及下划线等常用的标点符号,密码包含的字符种类越多,破解时用需要花费的时间就越长;第三:避免数 字和自字母组合的有序性。越有序的字符组合越容易被人想到,像abc123、a1b2c3这种密码字母和数字都很有序所以非常有序,非常容易被猜 中,5201314这种密码抛开纯数字组合这一以破解因素后,问题就是其谐音含有实际意义,也非常容易被破解词典破解。
加密
用 户在保护账户安全的道路上并不是一个人在战斗,网站运营商在用户输入账号和密码后对数据进行加密处理。主流的加密算法分对称加密和非对称加密两种。两种加 密算法各有应用。加密算法是厂商们研究的重点,但是由于加密算法面对用户都是不可见的,即是说用户一般不用理会自己账户在网站上使用的是什么加密算法,更 不用理会加密算法的原理、参数等等信息。但是一个好的加密策略对于服务商是非常重要的。因为加密算法一旦被破解,对公司的影响将是毁灭性的。索尼上半年受 到一次严重的黑客攻击,数千万用户资料被泄露,加密的重要性可见一斑。
企业应该选择一个什么样的加密策略没有一个定论,原则是适合公司的 就是最好的。以无线网络中常见的三种加密算法(WEP、WPA、WPA2)为例,从WEP到WPA再到WPA2,加密算法的安全性越来越高,但是处理速度 越来越低,对安全性要求较高的网络需要牺牲些速度以保障信息安全,反之对于浏览常规的网络新闻时使用的网络可以选择速度较快的加密算法。
总结
绝 对安全的密码和完美的密码策略是不存在的,用户也不必过分的追求高级的加密算法和复杂的密码。用户需要做的首先是提高密码保护的安全意识,只有有了数据保 护的需求才会学习密码制定的相关知识和攻防策略。其次,用户需要分清各种诸如安全、速度等需求因素的权重,尽量在各种因素中保持一个平衡。寻求到这种平衡 就是密码保护甚至网络安全的最终目标。
