本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定反映《大众科学》的观点
随着越来越多的个人业务在线进行,密码(确切地说是数十个密码)已成为日常生活中不可避免的麻烦。我们都知道创建良好密码的规则,或者至少我们希望知道有规则——选择字母数字组合,不要写下来,不要在多个帐户中使用它等等。
尽管有这些指导,“人们不擅长选择计算机无法猜测的密码,特别是配备多核处理器的计算机,” 比尔·切斯威克 在最近于 纽约理工学院 举行的网络安全会议上表示。切斯威克在这个领域具有一定的权威性。除了目前担任 AT&T Research 技术人员的首席成员外,他还曾在 开发首批防火墙系统 二十多年前发挥了关键作用。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关当今塑造我们世界的发现和想法的具有影响力的故事的未来。
这位网络安全先驱回顾了来自多家公司的大约十几种不同的企业密码创建策略,并得出结论:“这些规则并不能使任何事情更安全。” 即使是最长和最复杂的密码,如果落入坏人之手也是无用的。
切斯威克反而提出了他的“非白痴密码规则”:密码应该是一个字母数字组合,家人或朋友在五次尝试内无法猜到,并且应该足够复杂,以至于一个人无法通过观看您输入一次来猜出密码。如果您需要提醒,与其写下密码本身,不如写下一些可以提醒您密码的东西。
权衡您要保护的信息的价值也很重要。切斯威克将其分为三个级别。“谁在乎?” 类别适用于任何仅提供信息访问权限的帐户,例如在线订阅《纽约时报》。如果有人窃取密码,他们最多可以做的是阅读出版物或填写调查问卷,因此可以随意为这些网站重复使用密码。
其他帐户值得更多保护,它们的密码应更谨慎地创建和保管。一个级别是密码被盗后“不方便”的帐户,但后果(即有人通过您的 Amazon.com 帐户订购书籍)可以通过一些努力来纠正。要求最高级别保护的帐户是那些使您能够访问银行帐户、交易股票或以其他方式处理财务事项的帐户。
当然,坏人有 各种窃取您的登录信息的方法,并且许多盗窃事件并非密码持有人的过错,切斯威克说。密码被盗的一些最常见方式是通过 键盘记录器、网络钓鱼攻击 和密码 数据库黑客攻击。
键盘记录器通常在人们从不良或受损的网站下载软件或图像时,在他们不知情的情况下安装在他们的计算机上。网络钓鱼攻击是通过冒充您的银行、信用卡提供商或其他看似可信来源的电子邮件进行的。单击这些虚假电子邮件中的链接会将您带到同样虚假的网站,这些网站被创建为类似于银行或信用卡公司的网站。当您尝试登录时,您的信息将被捕获。黑客经常直接攻击密码数据库(例如金融机构或互联网服务提供商维护的数据库),他们可以在其中窃取数十甚至数百个密码。
在这些情况下,大部分安全负担落在您的银行、互联网服务提供商或任何其他负责保护您的信息的人身上。他们提高安全性的一种方法是限制密码猜测次数,如果超过限制则锁定帐户。解锁此类帐户也应仔细考虑。如果网站提供辅助问题进行身份验证,则该问题应与密码相关,而不是与您自己相关,切斯威克说,并指出找出一个人的母亲的“娘家姓”并不太困难。
图片由 Potapova Valeriya 通过 iStockPhoto.com 提供