密碼進(jìn)化史:為何安全依然距離我們很遙遠

發(fā)布時(shí)間:2014-1-6 19:05    發(fā)布者:1770309616
關(guān)鍵詞: 密碼
僅僅在十年前,包括Hotmail賬戶(hù)和AIM證券賬戶(hù)在內,用戶(hù)的密碼安全都沒(méi)有受到很好的保護。最近一段時(shí)間以來(lái),幾乎每一家大公司的個(gè)人數據都爆出 了安全危機!都~約時(shí)報》、Facebook、Gmail等等,都曾經(jīng)遭受到過(guò)黑客的攻擊。雖然這些公司都采取了各種措施來(lái)保護這些大量的敏感數據,包括 信用卡、地址、通信方式等等。但是,自從計算機密碼發(fā)明這50多年來(lái),安全人員和開(kāi)發(fā)人員一直都想徹底解決密碼安全問(wèn)題,并且遏止住這有點(diǎn)一發(fā)不可收拾的 勢頭。

第一代計算機密碼系統,是在1961年由美國麻省理工學(xué)院通過(guò)兼容分時(shí)系統(CTSS)創(chuàng )造,而這也成為了今天我們所有使用的計算機密碼系統的基礎。CTSS系統旨在通過(guò)相同處理器的計算機搭建獨立控制平臺。這樣,每個(gè)開(kāi)發(fā)人員一個(gè)人就可以控制整個(gè)系統的安全。

“關(guān)鍵的問(wèn)題是,我們雖然設置了多個(gè)終端,并且由多個(gè)人員使用,但是每個(gè)人都有屬于自己的私人文件!盋TSS項目負責人Fernando Corbato在接受《連線(xiàn)》雜志采訪(fǎng)時(shí)表示!胺謩e鎖定每位用戶(hù)的密碼似乎是一個(gè)非常簡(jiǎn)單的解決方案!

這些第一代的密碼是非常簡(jiǎn)單和容易保存的,因為在當時(shí)復雜的黑客網(wǎng)絡(luò )攻擊和密碼破解程序還不存在,但是盡管這樣這個(gè)系統也非常容易被“蒙混過(guò)關(guān)”。在1962年,CTSS研究員Allan Scherr博士將所有儲存在計算機中的密碼打印了出來(lái),因此比他之前每周只被分配四小時(shí)的時(shí)間相比,擁有了更多的使用權。

“有一種離線(xiàn)文件打印請求,通過(guò)提交帶有賬號編號和文件名字的硬[url=]紙[/url]穿孔卡片,”Scherr在一份關(guān)于CTSS記錄文檔中寫(xiě)到!霸谥芪宓耐砩衔姨峤淮蛴∶艽a文件的申請,而要到周六早上才打印成功,并且就擺放在外面。如果愿意的話(huà),任何人都可以繼續盜取這些密碼信息!

隨著(zhù)操作系統變得更加復雜,使用范圍更加廣泛,關(guān)于密碼安全的重視程度也變得越來(lái)越高。著(zhù)名黑客Robert Tappan Morris的父親、前美國國家安全局科學(xué)家Cryptographer Robert Morris開(kāi)發(fā)出了一種單項加密函數的UNIX操作系統,被命名為“hashing”。而他的兒子Robert Tappan Morris,后來(lái)作為著(zhù)名的黑客,發(fā)明了第一個(gè)能通過(guò)網(wǎng)絡(luò )傳播臭名昭著(zhù)的蠕蟲(chóng)病毒。而老Morris編寫(xiě)的“hashing”系統并不會(huì )將實(shí)際密碼儲存在計算機系統中,這樣信息就不容易被黑客攻擊。老Morris的加密策略,似乎已經(jīng)實(shí)現了劍橋大學(xué)在60年代提出的發(fā)展構想。

而現代基于UNIX開(kāi)發(fā)的系統,比如Linux在早期的時(shí)候使用了更安全的散列算法。如今,“salting”密碼在通過(guò)密碼功能之前會(huì )被添加獨特的字符,并且可以增加抵御防護攻擊的能力。

然而,雖然數以百計的常用散列密碼仍然是加密的,但是依然可以被猜出。在過(guò)去的幾年中,黑客們曾經(jīng)攻擊了包括Linkedln和Gawker的服務(wù)器,并且更容易的破解出了加密的密碼。

“在網(wǎng)絡(luò )發(fā)展的過(guò)程中,我們都會(huì )使用互聯(lián)網(wǎng),而密碼工作也發(fā)著(zhù)的相當不錯!薄哆B線(xiàn)》雜志編輯Mat Honan作為一位黑客攻擊的受害者在2012年寫(xiě)道!斑@很大程度上是由于他們并沒(méi)有多少數據需要保護。因為在云端服務(wù)器上,幾乎沒(méi)有多少個(gè)人信息。而隨著(zhù)云技術(shù)的興起,越來(lái)越多的黑客開(kāi)始將目光轉向了大公司的系統服務(wù)器!

現在,就算從我們最喜歡的電視節目網(wǎng)站上,也能夠看到我們的個(gè)人資料,包括信用卡號碼以及所有受密碼保護的資料。而大公司的疏忽則一再讓悲劇發(fā)生。

首先,即使是在現在,仍然并不是所有網(wǎng)站都對密碼數據進(jìn)行加密,一些程序仍然用“明文標示”的方式儲存秘密。而這就意味著(zhù)他們現在的系統與幾十年前相比并沒(méi)有任何進(jìn)步。如果一旦被某個(gè)黑客入侵了網(wǎng)站的服務(wù)器,那么成千上萬(wàn)的密碼和所有需要保護的個(gè)人數據,都在瞬間就會(huì )暴露在黑客面前。

黑客們通常根據人類(lèi)的通性和習慣去猜測密碼。根據針對2013年幾次大規模的密碼泄露事件的調查報告顯示,有76%的網(wǎng)絡(luò )入侵是通過(guò)用戶(hù)賬戶(hù)的途徑。在通常的情況下,一旦黑客獲取了某個(gè)人的一個(gè)賬戶(hù)密碼,而這個(gè)用戶(hù)的其它賬戶(hù)密碼也非常危險。因為大多數人不同的賬戶(hù)都會(huì )使用相同的密碼或一些出現頻率非常高的簡(jiǎn)單密碼(一些常用詞匯會(huì )不可避免的被當成密碼)。而這種名為“字典攻擊”(Dictionary attacks)的方式可以通過(guò)周期性嘗試字典中的高頻詞匯,毫不費力的破解這些簡(jiǎn)單的密碼。

因此,大多數的網(wǎng)站都要求用戶(hù)使用更復雜的組合,并且在密碼之后還要求身份驗證。例如,用戶(hù)最好以大小寫(xiě)字母、數字和特殊符號來(lái)組成密碼,并且建議用戶(hù)針對不同的網(wǎng)站使用不同的密碼。

但是目前互聯(lián)網(wǎng)用戶(hù)平均每天要訪(fǎng)問(wèn)25個(gè)涉及密碼登錄的網(wǎng)站,而分別記住這些至少14位的不同密碼對于普通用戶(hù)來(lái)說(shuō)是一個(gè)巨大的腦力負擔。

而現實(shí)狀況則是,目前普通用戶(hù)的密碼不僅不安全,有些甚至一定作用都沒(méi)有,大多數用戶(hù)只是隨意敷衍的設置密碼。一位長(cháng)期從事國家網(wǎng)絡(luò )身份安全戰略研究的高級顧問(wèn)Jeremy Grant在接受Mashable網(wǎng)站采訪(fǎng)時(shí)表示:“雖然12位至18位的復雜密碼具有高度的安全性,但是從可用性的角度上來(lái)說(shuō),大多數人并沒(méi)有這個(gè)耐心。相反,他們只有一兩個(gè)簡(jiǎn)單的密碼,并且到處使用!

即使是最安全的密碼也很容易遭受到大量的策略性攻擊,包括暴力破解在內。當黑客或計算機通過(guò)惡意程序周期性的手動(dòng)將所有可能的字母、數字與字符組合進(jìn)行組合,同樣存在破解密碼的可能性。而為了訪(fǎng)問(wèn)私人數據和收集個(gè)人資料,黑客們還有可能冒充用戶(hù)的目標網(wǎng)站來(lái)引誘用戶(hù)填寫(xiě)自己的地址、電話(huà)號碼和賬號密碼的敏感信息。從而更加輕松的獲取用戶(hù)的個(gè)人賬戶(hù)信息,這就是所謂的釣魚(yú)網(wǎng)站。即使是最復雜的密碼,一旦用戶(hù)在這些假網(wǎng)站中輸入一遍,都可以輕易的欺騙用戶(hù)騙到密碼。

而這也難怪比爾·蓋茨曾經(jīng)早在2004年就宣布通過(guò)密碼保證安全的方法已經(jīng)死亡。

在過(guò)去的十年中,不少研究人員和創(chuàng )業(yè)公司都在尋找加強密碼安全的方法,或者完全替代它們。這些成果包括了諸如LastPass、1Password這樣的個(gè)人資料管理工具,可以集中將個(gè)人數據、加密密碼進(jìn)行保存,并且通過(guò)基于圖像或個(gè)人手勢的方式進(jìn)行解鎖。

而一些公司已經(jīng)為員工制定了二級安全措施,例如隨身攜帶的安全芯片作為主要的安全措施。同樣,谷歌公司已經(jīng)透露最近計劃在小型的USB設備上加入加密密匙,可以作為一些重要設備的啟動(dòng)密碼工具。

這些更先進(jìn)的方法是很有前景的,但是并沒(méi)有引起太多的反響。比如像Nymi腕帶這樣的生物密碼設備仍然具有很大的缺陷。因為生物信息是完全不可替代的,一旦被盜或復制,用戶(hù)不可能重置自己的視網(wǎng)膜或心跳。而指紋[url=]掃描儀[/url]也面臨同樣的問(wèn)題!半m然指紋很難偽造,但也不是不可能。因此在銀行的時(shí)候我只有在獨自一人的情況下才使用指紋功能!泵艽a管理應用Mitro聯(lián)合創(chuàng )始人之一Vijay Pandurangan告訴Mashable。

最近,像谷歌公司的員工都開(kāi)始啟用了雙重認證機制,增加了額外的一層密碼安全。并且要求驗證兩個(gè)獨立的方式,通常情況下是密碼和短信驗證碼的組合。但是,無(wú)所不能的黑客們依然可以通過(guò)諸如游戲網(wǎng)站等形式事先獲取目標的手機號,這對于他們來(lái)說(shuō)并不困難。

但是,雙重認證機制依然可能是未來(lái)密碼安全的關(guān)鍵。目前,密碼在網(wǎng)絡(luò )安全文化中處于根深蒂固的位置,并且想要讓整整一代已經(jīng)熟悉密碼的用戶(hù)完全接受另一個(gè)全新的體系并不合理。但是多重身份驗證,通過(guò)傳統的密碼疊加通過(guò)短信獲取驗證碼或指紋密碼,是一種非常具有可行性變化的解決方案。理論上來(lái)說(shuō),一次普通的登錄需要嘗試的內容越多,黑客獲取所有登錄成功所需要的信息的可能性就越小。

“最好的安全解決方案,就是疊加多重元素的層級,因此破壞掉其中一層的話(huà),并不會(huì )影響整個(gè)的生態(tài)系統!盙rant表示!叭绻覀冎皇堑顷懙紾mail賬戶(hù),可以使用普通的密碼,并且通過(guò)谷歌的身份驗證程序。但是想要登錄[url=]健康[/url]記錄或銀行網(wǎng)站,可能就需要第二層的保護,比如電話(huà)短信驗證或生物識別技術(shù)!

“到目前為止,智能手機已經(jīng)為我們真的提供了一個(gè)多重驗證機制的優(yōu)秀平臺,可以跨越一些過(guò)去存在的障礙!

不過(guò)在多重身份驗證問(wèn)題成為最安全的方法時(shí),也要面對一定程度上的犧牲,比如用戶(hù)的隱私。而這些所需要的信息類(lèi)型也要遠遠超過(guò)我們所能接受的程度!鞍踩到y要讀取用戶(hù)的位置和使用習慣,甚至就連說(shuō)話(huà)習慣和DNA都有可能!盚onan在《連線(xiàn)》雜志文章中寫(xiě)到。

但是Grant指出,任何對于消費者來(lái)說(shuō)過(guò)于復雜的技術(shù)都將被無(wú)情的拒絕。未來(lái)的安全技術(shù)不應該將復雜的技術(shù)直接帶給消費者,不能為用戶(hù)帶來(lái)不便。而獲取地理位置等信息則是非常有前途的途徑。未來(lái),如果設備識別用戶(hù)從一個(gè)陌生的國家或地點(diǎn)登錄,就會(huì )開(kāi)啟額外的安全機制。而目前部分Facebook用戶(hù)已經(jīng)開(kāi)始遇到過(guò)這種情況。當系統識別用戶(hù)從陌生的IP地址登錄后,就會(huì )面對第二甚至第三層的安全措施驗證。

如果我們繼續選擇將個(gè)人信息在線(xiàn)保存,那么就要被迫接受犧牲掉某些便利性和隱私,至少目前是這樣。我們別無(wú)選擇,只能面對。同時(shí),別忘了繼續加強我們常用密碼的復雜程度。

來(lái)源:mashable



本文地址:http://selenalain.com/thread-125394-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
w888_2006 發(fā)表于 2014-1-7 18:31:00
很好
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页