强密码不等于最安全
要强化你的密码,请选用一组混有字母、数字、标点符号的独特字符串。但要把这个密码记在脑中——决不要写下来。噢,对了,每隔几个月还要更改密码。
这些要点说明本以为能为我们起到保护作用。但事实无法做到。
一些电脑安全专家目前正在大力推介一种看似异端的观点,他们认为“强密码是没有必要的”,也没有必要经常更改。他们表示,那些对密码设定的庞冗繁杂要求让我们产生一种错觉,以为这样就能对潜在的攻击加以防卫。他们说,事实上,我们对那些更为强大的攻击威胁没有给予足够的重视。
下面就是一个能令人彻夜难眠的威胁:键盘记录器病毒。这种间谍软件是由病毒留存在电脑上,对该电脑所有的键盘操作进行记录——包括你能编制出的那些最强的密码,然后偷偷地将密码发送到一个远端位置。
微软研究院首席研究员、安全问题专家考麦克·赫雷(Cormac Herley)说:“要避免电脑染上键盘记录器病毒,这比你的任何强密码都重要万亿倍。”他说,防病毒软件可以检测并拦截许多类型的键盘记录器病毒,但“不能保证防病毒软件能对付所有的键盘记录器病毒。”
在对各种设置条件的密码要求进行研究之后,赫雷先生对系统管理员而不是用户持批评态度,认为他们迫使用户遵从那些晦涩不解的密码设定规则,给用户带来许多不便,而又没有对这些不便给予足够的重视。“需要提高对各种攻击的风险教育的不是用户,而是负责电脑安全的从业人员,”他在英国牛津皇后学院(Queen’s College)举行的一个安全专家会议——“新安全规范研讨会”(New Security Paradigms Workshop)上说,“这些安全建议为用户提供的不过是一个在成本效益上非常糟糕的折衷之策。”
有人可能会猜测,那些大流量网站——尤其是为用户提供个人财务信息的网站——会要求用户选用强密码。但事实证明,许多这类网站的密码政策是最宽松的。这些网站没有公开讨论安全漏洞,但赫雷先生说,如果这些网站的用户没有得到充分保护,从而免遭那些不知道密码的人的恶意攻击的话,那么这些网站是不可能采用这种宽松政策的。
赫雷先生与同在微软研究院工作的迪内·弗洛伦西奥(Dinei Florêncio)共同对75个网站的密码策略进行了研究。在7月份于华盛顿州雷蒙德(Redmond)举行的“适用的隐私与安全研讨会”(Symposium on Usable Privacy and Security)上,他们报告说,允许弱密码的网站多是流量大的商业网站,其中包括贝宝(Paypal),亚马逊(Amazon.com)及富达投资(Fidelity Investments)。那些坚持要求使用非常复杂的密码的网站大多是政府和大学网站。这种区别产生的原因是什么呢?他们认为,“当倡导可用性的呼声匮乏或者较弱时,安全措施就成为了一种不必要的限制。”
讨论区