黑客專(zhuān)家教你如何設(shè)計(jì)不容易被破解的密碼

美國(guó)一家密碼管理應(yīng)用提供商SplashData 公司近期總結(jié)出2012年度最差的25個(gè)密碼，美國(guó)《紐約時(shí)報(bào)》作家尼克爾·佩爾榮斯近日撰文指出，密碼要想不被黑客猜中，有幾點(diǎn)非常重要的注意事項(xiàng)。以下為文章全文：

從 事網(wǎng)絡(luò)安全文章寫(xiě)作不久，我就變成了一個(gè)嘲笑從前的自己的偏執(zhí)狂。每天，黑客們不停地提醒我，竊取我的個(gè)人數(shù)據(jù)太容易了。不到幾周時(shí)間，我為每家網(wǎng)站的賬 號(hào)設(shè)置了獨(dú)特的、復(fù)雜登陸密碼，并為自己的電子郵箱賬戶設(shè)置兩重認(rèn)證程序。我甚至給計(jì)算機(jī)的攝像頭貼上了膠帶紙——朋友和同事建議我該去看心理醫(yī)生了。

但是最近的一些事情終于為我洗冤。我撕掉攝像頭的膠帶，沒(méi)幾天就發(fā)現(xiàn)指示燈變綠了。這說(shuō)明有人入侵我的計(jì)算機(jī)，正虎視眈眈地監(jiān)視我。最近，谷歌發(fā)來(lái)的短信，內(nèi)含Gmail帳戶的第二步驗(yàn)證碼。問(wèn)題是我根本沒(méi)登陸帳戶，干嘛要第二次驗(yàn)證？很明顯，黑客試圖闖入我的郵箱。

被黑太容易了，你只需要點(diǎn)擊一個(gè)含有病毒的鏈接或者附件就中招。大公司的計(jì)算機(jī)系統(tǒng)每天都遭受黑客的襲擊。黑客們將竊取的密碼放到黑市上交易，每個(gè)可獲得20美元的收入。黑客最喜歡用諸如“約翰開(kāi)膛手”（John the Ripper）之類(lèi)的免費(fèi)密碼破解程序，它每秒可以嘗試數(shù)百萬(wàn)次密碼登陸。

每 個(gè)人一生中總會(huì)遭受幾次黑客入侵。我們唯一能做的就是管理好密碼，逃避可疑的鏈接。不幸的是，良好的密碼設(shè)置習(xí)慣就像牙線剔牙——你知道它的重要性，但需 要持之以恒，付出努力。想想看，為每一個(gè)新聞網(wǎng)站、社交網(wǎng)站、電子商務(wù)網(wǎng)站、銀行網(wǎng)站、企業(yè)網(wǎng)站和電子郵件帳戶想出唯一的、難以破解的密碼并把它們?nèi)坑?住是件多有挑戰(zhàn)的事情啊。

為了解決這個(gè)問(wèn)題，我給耶利米·格羅斯曼（Jeremiah Grossman）和保羅·科克（Paul Kocher）打電話咨詢。格羅斯曼先生是個(gè)知名黑客，他第一個(gè)公開(kāi)演示如何通過(guò)瀏覽器控制一臺(tái)電腦的攝像頭和麥克風(fēng)。目前，格羅斯曼供職一家互聯(lián)網(wǎng)和網(wǎng) 絡(luò)安全公司。科克先生是著名的密碼學(xué)專(zhuān)家，以巧妙攻擊安全系統(tǒng)而聞名。他現(xiàn)在經(jīng)營(yíng)一家安全公司，專(zhuān)注于提高系統(tǒng)抵御黑客的能力。以下是他們給出的建議：

不要靠字典中的單詞：如果你的密碼可以在單詞書(shū)中找到，那就和沒(méi)有一樣。黑客們經(jīng)常借助詞典以及詞匯的變體測(cè)試密碼。如果你不屬于這一類(lèi)，他們通常就會(huì)放棄。

一個(gè)密碼絕對(duì)不要使用兩次：人們喜歡在不同的網(wǎng)站使用同一密碼，這可讓黑客有了可乘之機(jī)。如果你的LinkedIn賬戶遭泄露，可能沒(méi)什么損失；但他們會(huì)利用該密碼嘗試你的電子郵箱、銀行賬戶等一切存儲(chǔ)資產(chǎn)及重要個(gè)人數(shù)據(jù)的地方。

設(shè)置密碼短語(yǔ)。密碼越長(zhǎng)，破解的時(shí)間也越長(zhǎng)。如果不想讓黑客在24小時(shí)內(nèi)能破解你的密碼，密碼長(zhǎng)度應(yīng)該超過(guò)14個(gè)字符。因?yàn)殚L(zhǎng)密碼難于記憶，可考慮用喜歡的電影臺(tái)詞、歌詞或一首詩(shī)的首字母拼接在一起。

胡亂敲擊鍵盤(pán)：對(duì)于敏感的賬戶，格羅斯曼先生建議隨機(jī)亂敲鍵盤(pán)，并間或敲擊Shift和Alt鍵，然后將結(jié)果復(fù)制到一個(gè)文本，存入一個(gè)有密碼保護(hù)的U盤(pán)。

安 全存儲(chǔ)你的密碼。不要將密碼放在收件箱或桌面。如果惡意軟件感染電腦，你就完蛋了。格羅斯曼先生將密碼文件存入加密U盤(pán)，使用帳戶時(shí)，他把這些密碼復(fù)制粘 貼過(guò)去。即便黑客利用鍵盤(pán)記錄軟件，同樣無(wú)法捕捉到他的密碼?？瓶讼壬鷦t把密碼提示保存一張紙上，把敏感的信息和互聯(lián)網(wǎng)徹底隔離。

不 要依賴密碼管理器。密碼保護(hù)軟件可使用戶將所有用戶名和密碼存儲(chǔ)在同一區(qū)域。有些程序還能為你創(chuàng)建強(qiáng)大的密碼，只要你輸入主密碼，就能幫你自動(dòng)登錄網(wǎng)站。 如LastPass、SplashData和AgileBits等等?？瓶讼壬J(rèn)為，即使加密后，密碼仍然留在計(jì)算機(jī)里。如果電腦遭到盜竊，等于丟失所有 密碼。而且密碼管理器不一定靠譜，今年初在阿姆斯特丹舉行的安全會(huì)議上，黑客們就演示了破解手機(jī)密碼管理器的技術(shù)。

安 全問(wèn)題最好答非所問(wèn)。網(wǎng)站的驗(yàn)證問(wèn)題經(jīng)常問(wèn)道“你最喜歡什么顏色？”“你在哪所中學(xué)就讀？”，這些問(wèn)題的答案局限性太大，很容易在互聯(lián)網(wǎng)上找到。今年初， 一名黑客利用米特·羅姆尼（Mitt Romney）最喜歡的寵物的名字破解其Hotmail和Dropbox帳戶。比較安全的做法是密碼提示和問(wèn)題無(wú)關(guān)。如果安全問(wèn)題問(wèn)出生醫(yī)院的名稱(chēng)，你的 回答可以是最喜歡的歌詞。

使用不同的瀏覽器。格羅斯曼先生強(qiáng)調(diào)，不同的網(wǎng)絡(luò)活動(dòng)要用不 同的瀏覽器。選擇一個(gè)瀏覽器做亂七八糟的事情，如瀏覽網(wǎng)上論壇、新聞網(wǎng)站、博客等不重要的事情。第二個(gè)瀏覽器用于登錄網(wǎng)上銀行或收發(fā)電子郵件。這樣瀏覽器 被攻擊后，銀行帳戶就不一定會(huì)泄露。Accuvant Labs去年研究發(fā)現(xiàn)，在其所調(diào)查的火狐、谷歌Chrome及微軟Internet Explorer瀏覽器中，Chrome最安全。

別亂分享你的信息?？瓶讼壬鷱?qiáng)調(diào)說(shuō)，不要經(jīng)常利用真實(shí)的E-mail地址注冊(cè)網(wǎng)上帳戶。很多“一次性”e-mail地址是最佳選擇，如10minutemail.com提供的地址，用戶注冊(cè)、確認(rèn)在線賬戶后，這些電子郵件地址會(huì)自我銷(xiāo)毀。