Win7之家( afsion.com.cn):黑客搞定你密碼的4招
我們會想方設(shè)法來保護密碼的安全,比如增加密碼長度、使用復(fù)雜的語法以及特殊字符等等,這確實有助于增強密碼的安全性,這些方法往往要求你每90天更改一次密碼,但奇怪的是看不到什么明顯的好處。
但是那些駭客們通常會用四種基本的方法得到你的密碼:
(1)直接詢問,所謂的“釣魚”和“社會工程學(xué)”的攻擊仍然在進行,并且一直有效(現(xiàn)在應(yīng)該是人肉搜索吧)
(2)試著用字庫來匹配提示框,希望碰到好運氣
(3)獲取加密之后的密碼或哈希碼,反過來進行解密
(4)使用keylogger等惡意軟件在你在電腦中輸入時獲取密碼
這四種情況不會因為你每隔90天更改了一次密碼就從你身邊走開。如果壞人們無法在幾天內(nèi)攻破哈希碼(3),他很可能去尋找更容易的攻擊目標(biāo)。攻擊(1)也是速戰(zhàn)速決型,壞人們通常只使用前幾百個單詞,如果無效的話馬上就會轉(zhuǎn)向其他更容易的獵物。如果(2)或 (3)攻擊成功,或者攻擊者通過更簡單的(1)或(4)獲知密碼,那么他們平均只需要45天就足以把你的銀行帳戶弄得一干二凈,或者把你的電子郵件地址變成發(fā)送垃圾郵件的據(jù)點。
在過去25年左右的時間里,密碼過期的概念沒有什么變化。信息安全技術(shù)人員、審計人員、PCI、 ISO27002和COBIT等等的要求都保持不變,但威脅已經(jīng)改變了不少。通常,密碼脆弱的用戶只會用另一個脆弱的密碼來替代。而強迫一個密碼強度已經(jīng)很高的用戶更改密碼最終反而會惹惱他而使用簡單的密碼。
那么90天的密碼更改周期到底有什么意義呢?有一個實際的好處。那就是如果有人有你的密碼而他們想做的一切只是偷偷的閱讀你的電子郵件,那么你改變密碼可以阻止他們永遠這樣做下去。定期更改密碼并不能抵御那些想要竊取你的機密的惡意攻擊者,但它確實能讓你擺脫那些偷偷摸摸的潛入者或窺探者。沒錯,這是好的。但是,這點好處是否值得去強迫用戶去不嫌麻煩的每90天更改一次密碼呢,答案是肯定的。防患于未然,才是安全的真諦。
評論列表
查看所有 條評論