(真陆行鸟,Revolucion/编译)一项最近的研究表明,1%的密码可以在4次之内猜中。

摘要:
IP、IC、IQ卡,通通告诉我密码……在黑客横行的今天,安全的密码是保证你的邮箱等网络账户安全的重要手段。但一份调查显示,美国互联网用户使用最多的密码竟然是“123456”,排在第二位的是“12345”,常用的密码还有“password”、“iloveyou”等,如此简单的密码怎能美国网民最爱用密码123456IP、IC、IQ卡,通通告诉我密码……在黑客横行的今天,安全的密码是保证你的邮箱等网络账户安全的重要手段。但一份调查显示,美国互联网用户使用最多的密码竟然是“123456”,排在第二位的是“12345”,常用的密码还有“password”、“iloveyou”等,如此简单的密码怎能不引来黑客的破解攻击呢?
“RockYou”被盗的3200万账户中,使用频率最高的32个密码网络安全,很多人没当回事当网络刚刚闯入我们的生活时,人们最常用的密码是“12345”。今天,最流行的密码长了一位——“123456”,但却很难说会更安全。尽管近年来关于网络安全问题的报道层出不穷,比如最近谷歌邮箱遇到攻击事件,但很多人根本没把这个问题当回事。一项新的数据显示,五分之一的网络用户依然认为网络密码就起个开门钥匙的作用,他们大多选择一些非常简单很容易猜出的符号作为密码,比如“abc123”、“iloveyou”甚至“password”。阿米海·舒尔曼是“数据库”公司首席技术师,他制造出了阻止黑客攻击的软件,他说:“我想这只是人类基因上的一个缺陷。我们现在还是在沿袭上世纪90年代的操作习惯。”密码简单,3200万账户被盗上个月,一家类似于“脸谱”和“MySpace”的社交网站“RockYou”
有3200万用户的密码被身份不明的黑客盗取。“RockYou”将这3200万用户的资料都公布在网上,黑客可以毫不费力地下载,在受到广泛的批评后,“RockYou”建议用户赶紧修改密码,但为时已晚,黑客根据网上公布的用户资料破译了密码。舒尔曼和他的公司对这3200万被盗密码进行了研究,发现了网络用户设置密码的习惯。他们发现,3200万用户中将近1%的人以“123456”作为密码;使用第二多的密码是“12345”。排名前20位的密码还有“qwerty(打字机键盘)”、“abc123”和“princess(公主)”等等。舒尔曼说,更令人不安的是,3200万被盗账户中大约五分之一所使用的密码来源于相当接近的5000个符号。这意味着,只需要尝试人们常用的密码,黑客就可以进入很多账户。由于电脑和网络运行速度的加快,黑客每分钟就可以破译出几千个密码。舒尔曼说:“我们以为破译密码是个非常耗时间的攻击方式,你必须对每个账户都一个字符一个字符地试,每破译一个密码都需要试大量的字符。但实际情况是,只要选择人们最常用的几个字符就能破译大量的密码。”网站防黑,很难很麻烦如果在一定时间内密码输入错误次数太多,账户就会被冻结,有些网站试图用这种方式阻止黑客的攻击。但是专家说黑客可以很容易地骗过系统,比如,按系统允许的频率试验密码。为了提高安全性,有些网站强迫用户在设置的密码中必须包括数字、字母甚至各种符号。而“推特”之类的网站甚至禁止用户使用那些太常见的密码。不过,研究人员说,社交网站和娱乐网站通常采取方便用户操作的态度,不愿意对用户进行过多的限制。而要想冻结账户,eBay之类的商业网站就必须掂量掂量后果了,因为黑客声称他们可以冻结竞争者的账户,抢得拍卖品。密码太多,现代人不堪重负过多使用简单的密码不是今天才有的现象。上世纪90年代中期就进行过类似的调查,结果发现,人们使用得最多的三个密码是“12345”、“abc123”和“password”。为什么这么多人无视危险,选择这么容易猜到的密码呢?安全专家认为,这主要是因为在数字时代我们要记住的数字实在太多了,已经到了让人不知所措的地步。杰夫·莫斯,流行黑客研讨会的创办者,现在是美国国土安全部的顾问,他说:“现在,我们头脑中要记住的密码是10年前的10倍。语音邮件密码,ATM密码,还有网络密码……想记住所有的密码几乎是不可能完成的任务。”在专家倡导的理想化世界,人们在每个网站上都有不同的密码,人们必须记住这些不同的密码,如果需要,还要拿笔记在纸上。但是我们的大脑已经过于拥挤,基于此专家建议每个人至少选择两个不同的密码:一个复杂一点,主要用于对安全性要求较高的地方,比如银行、电子邮箱等等;另一个简单一点,用在风险较低的地方,比如社交网站和娱乐网站。莫斯先生认为密码至少要有12个字符,可是数据显示,这是一个很难完成的任务,数以百万计的人选择的是5位或6位的密码。

怎么可能?简单!尝试四个最常见密码。password,123456,12345678,和qwerty,这就打开了1%的大门。

好吧,你是那99%的人之一,但你还要考虑到而今黑客软件的速度。John the
Ripper是一款免费的黑客软件,每秒钟能测试数百万密码。还有一款商业软件本来是用在刑侦领域里(在查封的电脑中寻找儿童色情或者恐怖分子的信息),号称每秒能测试28亿密码。

一开始,破解软件会运行一套穷举式的、时常更新的流行密码表,然后再是整个字典,包括所有的常见人名,昵称和宠物名。而今我们这些用户,在反复羞辱和威胁之下,大多学会了往我们的密码里加数字、标点和奇怪的大小写,这叫“重整”(mangling)。理论上,这能让密码变得难猜许多——实际上,效果远没有那么好。几乎所有人的思维都会遵循那些早已被踏平的熟门熟路。如果网站要求你的密码里必须有数字,那password变成password1或者password123的频率会让你吃惊的。而要求你必须大小写同时出现的密码就会产生Password或PaSsWoRd。必须有特殊符号的结果则是password!和p@ssword。你以为$pider_Man1这种密码真的有看起来那么安全?每个人都觉得自己很机智,最后都机智到一块去了。

而且我们还有理由担心,因为网站强制采取重整,会逼迫用户去使用那些简单好记的密码作为重整的“底子”——因为重整本身很难记。它带来的安全感是虚假的。

RockYou事件

之所以我们对这些愚蠢密码有所了解,很大程度上来自于2009年12月4日的RockYou.com安全漏洞事件,他们是一个Facebook游戏发行商。一位黑客公布了这个网站32603388位用户的账号名和明文密码。此前和此后都有很多安全漏洞,但是这一起事件的超大规模使得它成为密码研究的关键数据组——无论是对好人还是对坏人而言。

图片 1“123456”和“password”是非常受欢迎的密码。图片来源:xato.net

在RockYou.com里最受欢迎的密码是“123456”,使用者人数高达290731人。不同年龄段和性别的人爱用的密码有很多差异,对于30岁以下的男性,许多受欢迎的密码来自性和秽语:
pussy,fuck,fucking,696969,asshole,fucker,horny,hooters,bigdick,tits,boobs等词汇位居前列。年纪大的人(不分男女)更倾向于使用昔日流行文化里的老梗。“Epsilon793”本来不是一个很糟的密码——假如它不是《星际迷航:下一代》里Picard舰长的密码的话。七位数字“8675309”常见到不可思议的程度,因为它是当年一首流行歌曲里面的电话号码。

只有记不住的才是安全的?

密码安全领域的每一项新方案最后不可避免都要招致冷眼旁观的专家的评论——在他们看来,任何常见的密码管理行为都是没用的。许多专家奉行“写下来”的原则,“很简单,足以抵御住字典式攻击的长密码已经长到人们记不住的程度了,如果人们选取一个又长又复杂、完全记不住的密码然后写在纸上,那才算安全。”这是咨询家布鲁斯•歇奈尔(Bruce
Schneier)在2005年写下的,在数字时代这简直是上古先知了。“我们都很擅长保管小纸片,我建议人们把密码写在纸上,然后把那张纸和其他有价值的纸放在一起——钱包里。”

即便可以将密码记在纸上,但敲出一个长而难记的密码也是烦人的事。移动设备的虚拟键盘?祝你好运。专家建议和现实场景的鸿沟在我爸的方法上体现得再明显不过——他把密码写在即时贴上,再把即时贴贴在电脑旁。密码并不复杂,只是一个两字短语,没有数字或者奇怪的标点符号。现实中的人不光会选择不安全的密码,他们连这样的密码都不大记得住。

而在网上漫游中,许多用户像蜗牛一样留下一串又一串都差不多的密码轨迹。他们会给每个网站都使用一样的密码,风险?见鬼去吧。有些网站会手把手地带用户,强迫他们遵循一些无厘头的密码规则,用户不得不修改自己的常用密码——然后他们下次登录的时候又不记得是怎么修改的了。

图片 2图片来源:lolindian.com

那怎样的密码才算安全?

创造一个安全密码简直是世界上最简单的事情:一串完全随机的字符就是了。靠自己的脑子是无法达成完美随机的,但你也不需要这样苛求自己:许多网站和应用可以拿环境噪声的数据给你提供完全随机的密码。这里是我在random.org上获得的一些密码例子:

Vk54z6XG
Px7YZrm3
NfdeKYsY
FryVMwMk
BVfqbRQb

问题解决?对于那些有迫害妄想的记忆狂人,或者那些用指纹识别来保障密码管理软件安全的人来说,确实如此。剩下所有人都甭指望能记住这堆字母汤。他们还说每个账户要有不同的密码!

比起专家来说,大多数用户都更在乎密码的方便好记,而不那么在乎安全性。我不知道哪一方更正确。你家里有紧急避难室吗?十有八九是没有吧,但那些装了避难室的人肯定会告诉你这玩意儿有多重要。但在你飞奔向避难室之前,也许确保自己始终锁好前门是更佳的选择。

密码面对的三种威胁

在现实中密码会受到来自以下三个方面的威胁:日常、群体和定向。

日常威胁”指的是你认识的人。爱管闲事的同事或者亲人可能想要登录你的账号。他们会通过自己对你的了解来猜测你的密码(而不是靠暴力破解软件)。日常的打探者也许会知道你的高中球队是野猫队(Wildcats)然后尝试这个密码,不过wildCatz1很可能足以打败他。

群体威胁”就像垃圾邮件一样,不针对个人。职业身份窃贼并不是在专门针对你的账号搞破解,他对你的个人情况一无所知,他的目的是汇集一套破解过的账号密码清单,通常是拿去再卖钱。密码窃贼则使用破解工具,会先从安全防护措施较低的网站下手——通常是那些允许你猜很多次的网站。这也许是没有什么经济价值的网站,比如游戏网站。等软件猜对了之后,它再用同样的密码及其变体去猜你的更加安全的账号,比如银行。

“定向威胁”意味着使用软件的私家侦探或警探。假如一个训练有素的人想黑进你的账号,假如金钱、时间(甚至法律)都站在他那边,那他很可能会成功。唯一的反制手段就是使用随机密码,长到足以保证其搜索时间抵得上你的预期寿命,甚至更久。

不要觉得你不会成为这种目标,哪怕是小企业的竞争对手也可能愿意花费资源去偷一台笔记本电脑。离婚案件里身价颇高的另一半也可能这样做。黑客可能会讨厌某个人的企业或者政治立场。推特的全站,就曾经陷落过,注意不是某个用户而是全站,原因只是一位管理员傻乎乎地选择了happiness作为密码。2009年一位黑客在字典攻击中发现了这个密码,把它贴在了Digital
Gangster上面,结果是巴拉克•奥巴马,布兰妮•斯皮尔斯,脸书和福克斯新闻等等大账户的推特都被盗用了。