在普通人的网络生活中,密码可以说是最主要的安全措施。但近几个月来,随着大公司的数据库被
黑客接二连三地攻破,由密码维系的安全体系正不断被削弱。网民该怎么办?
网站频频被黑
“黑”入网站服务器、窃取用户资料库的行为,在网络安全领域被形象地称为“刷库”。对“刷库”的黑客来说,今年无疑是一个“丰收年”。
公开报道显示,今年,Groupon、世嘉、宏基,甚至是国际货币基金组织(IMF)等知名机构都曾遭遇入侵,并造成上千万的客户资料泄露。其中,索尼被“黑”引发了有史以来最为严重的数据泄露。事实上,被成功入侵的数据库不止这些。由于一些黑客会将“猎物”晒在网上,据此,澳大利亚安全专家丹尼尔·格里茨拉克汇总了过去4年的“刷库”事件。在他建立的“ShouldIChangeMyPassword.com”(意为“我该换密码吗”)的网站上,记者发现,去年底前,被“晒”的资料库一共只有4个,但今年已有19个,其中14个是近2个月公布的。有兴趣的读者可以去该站试一下,看看自己的账号是不是在名单中。
国外风声鹤唳,国内情况也不乐观。几天前,360安全中心在《2011上半年中国网络安全报告》中认为,黑客“刷库”对网民财产的威胁已超越了木马。今年,国内论坛网站常用的论坛系统被发现有多个
漏洞,易被黑客攻陷,受影响的论坛多达数十万个。
“万能钥匙”被窃
理论上,“刷库”引发的安全风险只涉及当事公司。但实际上,由于很多网民为各种网站设置了相同的账号密码,只要其中一个失窃,黑客就等于得到了一把万能钥匙。
微软的特洛伊·亨特不久前研究了几个被公布的泄密资料库,他发现,多达2/3的网民在不同网站间使用相同的账号密码。而据360安全中心透露,国内一些黑客已开始利用从论坛上窃得的资料,在第三方支付平台发起“一元订单”交易,从而试探出哪些账号密码恰好能进入受害者的支付账户,之后就会将其中的余额盗取。
在安全专家看来,密码维系的安全体系早该被淘汰。微软研究院的科马克·赫尔利说:“过去10年,很多与安全相关的人都假设密码或许会消失,但这件事至今尚未发生。”不仅如此,随着社交网络、电子商务等的流行,人们对密码反而越来越依赖。
有调查显示,目前网民人均拥有25个网络帐户。美国国土安全顾问委员会顾问杰夫·莫斯表示,“如今,我们需要记住的密码可能是10年前的10倍。”
坏习惯亟待纠正
要告别键入密码的时代,比如转向指纹、虹膜等身份识别方法,电脑就必须配备相应的设备,网站安全架构也需要重建。这些
技术早已出现,但因为成本和用户接受度等原因,从未普及。因此,短期内人们能做的只是改掉一些坏习惯。
一些专家建议,网民可以为自己的网络活动分类,不同层面的活动使用不同密码,这既能保证安全,也减少了对记忆的压力。
PayPal首席信息安全官迈克尔·巴雷特有五套密码:邮件、社交网络、金融网站(银行和信用卡)、购物网站各有一套,而那些不太重要或不常访问的网站则用第五个。一些看似合理的密码管理习惯,也许也蕴藏风险。比如,有些人认为每隔3个月更换一次密码就更安全;但专家认为,如此频繁更换,会让用户更倾向于使用同一套密码。也有人会设置数十个账号密码,然后全部记录在电脑的某个文件内。可一旦该文件失窃,他等于失去了一串钥匙。
在所有的密码中,最常用的邮箱值得严加保护,因为许多网站会提供密码重设服务,新密码将被发往这个邮箱。此外,生日、电话、宠物名等也不应该进入密码组合,因为这些信息很容易在社交网络中被偷窥。
无论如何,安全和方便很难兼得,而人们却总是倾向于偷懒,并保有侥幸心理,直到危机真正降临在自己头上——黑客们的“晒单”显示,“123456”是目前最流行的密码
