随意在世界上找一个偶尔使用计算机的用户,他在很多时候都不得不去创建一个密码。经常使用计算机的用户需要在许多地方设置密码、工作的PC机、网络邮件、在线银行、博客等等。通常许多人为了记住密码而头痛,他们忘记了为什么要设置初始密码。
有时候你还能看见有人把密码写在易事贴上,并贴在计算机的顶端,很显然这是非常错误的做法。对于用户来说,要记住为什么要设置初时密码是很重要的,对于管理员来说,设置密码方针往往并不能起到什么作用,要记住有时候太多的安全措施并不比没有安全措施好到那里去。要了解什么才是好密码,首先要研究如何破解密码。
那些尝试破解别人密码的人,一般分为两类。 第一类是职业的电脑罪犯,他们不加选择随意进入一个账户,为了一己私利。 他们可能进入你的银行账户及资金,或者控制你的电脑添加到他们的BotNet(僵尸程序), 或许侵入到你的工作领域从事工业间谍活动,或许这只是一些无聊的孩子搞得一些破坏。
无论那种情况,共同的因素是,他们不一定是只针对你,你不一定做了什么引起他们注意的事情。 你可能只是成千上万个在互联网上随机的一台机器,为了保护自己你唯一能做的就是加强密码保护。
第二类人,他会选择特定的对象; 要么他们知道你要么有办法确认是你。 之所以选择你作为目标可能是因为上面提到的任何理由,也可能是好奇或怨恨。 许多人选择个人的信息作为密码,例如生日, 地址或姓氏--以为这些私人的信息没人知道,或者以为知道这些信息的人也永远不会去尝试利用这些信息。
大多数人都不知道有多少信息他们的信息可以通过这样或那样的方式从互联网上获得,--而且当搜索引擎越来越强大的同时, 它也越来越容易用来了解其他人的个人信息。
密码是怎么破解的?
有很多种方法可以破解密码。 最古老、最简单的方法叫做暴力攻击。 攻击者穷尽所有的组合,直到找到正确的密码。 虽然这不是聪明的方法,但优点是暴力攻击只要有充裕的时间总是可以成功的。 这里的关键因素是时间,为了了解这一点,让我们举一个例子:破解一个四位数字的密码。
在这种情况下, 有4个数字,每个数字都有10个不同的选择--即有可能10^4个组合。 或者说10000次尝试就可以穷举一切可能的密码,但由于平均只要经过一半的尝试就能找到密码, 也就是5000次就可以破解一个密码,对于一台电脑来说5000次可以在几秒钟内完成。
这是一个最简单的例子,我们再以一件更常见的情况为例子:6位密码, 全是字母但是大小写不敏感。 这意味着,每字有26个选择,总共有26^6-308,915,776不同的组合。很显然是需要用很多时间, 但还是不足以阻止攻击者。
在2005安大略大学计算机会议上,Jonathan Graham宣称一个运行在CPU是2.7GHZ的G5 Mac机器上的一个解码器达到每秒生成 900000加密密码的记录; 6位的字母密码全集只需五分钟就能生成(会议记录)。 如果是八个字符的密码,每个字符来自ASCII码全集,包括大小写、数字、标点符号,以这种速度来破解需200年不间断的时间。
第二种方法是字典攻击。 这种攻击方式是:攻击者有一个很大的可能密码列表, 而不是穷尽一切可能的字母和数字的组合, 他们只需要尝试一些别人在某些地方用过的密码。 不要看名字就误以为这个列表只包含一个通用字典里的密码, 尽管字典里的确实是列表的一部分。
一般的密码破解者有多个密码字典,从只包含最常见的密码的列表,到包含隐晦模糊的单词,姓名、地点、短语和通用的笔误的综合词典。 破解者往往会用一本字典通过组合产生一系列的连接词,包含数字与标点符号。 密码破解者的最大的辞典可能需每秒百兆字节的速度运行数天才能遍历完。
最后的也是最简单的方法--手动尝试密码,就是那种你弟弟可能试图破解你密码的方法。通常这是一个微不足道的威胁—几乎没有那个攻击者有耐心地坐在那里手动尝试10000个不同的密码。 危险在于当攻击者已经得到了你的密码,即使使用很低级的技术,攻击者都能有很多方法得到粗心大意的用户的密码。 最简单的方法就是看到你的密码,在传统的易事贴上,或者一张放在秘书桌上的用户名单,里面有用户在公司的账户和密码-- 如果你让你的密码谁都能轻易看到,这意味着你信任每一个能进到你办公室的人都尊重你的隐私。
还有一种常见的伎俩是假冒电子邮件要求你“验证”你的账户,要求你把用户姓名及密码通过电子邮件发送给他—实际上发送给了那些企图攻击你账户的攻击者了。 这一诡计的成功导致许多网站使用密码验证时都警告通知用户,他们不再要求密码通过电子邮件来验证。
怎样创建一个好的密码
现在我们已经知道了怎样破解密码,我们可以开始考虑什么才是好密码。 显然一个最好的密码能提供最强的密码攻击的防御。 对于暴力攻击来说,关键的因素是密码可能集空间的大小,也就是密码的可能性的大小。 密码使用越多个数的字符越好, 使用越多种类的字符越好。
对于字典攻击来说,重要的一点是,由于密码尽可能的随机,使之不可能出现在任何可能的密码字典中--避免包含有词典的词、姓名、甚至日期。 对最后这类攻击重要的是使密码能让你记住而不值得怕忘记而写下来。 这是个很大的问题, 密码要保证你好记和难忘,但复杂和随机性又要让攻击者不易破解。
一个通用的方法是利用单词的缩写, 挑一些你能记住的一些短语只取每个单词的第一个字母, 抛弃一些标点只留下容易记住的, 但是对于其他人看起来是完全随机的,他们不知道这个密码是如何组合出来的。 譬如说,你是迪伦(Bob Dylan)的歌迷,你可能很难记忆复杂的密码, 但是你却记得迪伦的歌曲<HighWay 61 Revisited>里所有的歌词--你把第一行歌词每一个字的第一个字母取出来组合(“God said to Abraham: “Kill me a son”),然后在结尾加上歌曲的名字作为密码,也就是GstAKmash61r。
这是一个12个字符的密码,包括大小写, 还有数字,看上去相当难懂,其他人谁也不知道它来自什么地方。 这种方法确保你安全使用你的有效密码,因为它完全是根据你的需求创建的。 即使你记不住歌曲中的所有歌词,你也可以把歌词挂在你的的房间墙壁上,其他人从中也想不出什么东西。
技巧
好的密码
不太好的密码
极差的密码
英国一项研究统计出最差的十大密码, 发表于Modern Life Is Rubbish的博客,。 如果你看到你的密码在以下的列表,或类似的话,你就得改改你的密码了:
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |