跳至主要内容

你的密码安全吗

你的密码安全吗

redraiment, 2009-08-12

想个好密码不容易





  Web 2.0时代需要用户主动参与,大大小小的站点都需要你注册登入(连期末课程设计也视此为最低指标)。密码原则上是一个烂在肚子里的字串,只有自己知道且容易回忆。容易回忆就意味着这一串字符对自己来说具有某种意义,但真要找到一串字符既有意义又不广为人知还的确不太容易。于是很多人选择迁就“容易记忆”,比如下列几类常用的密码:
  1. 类似111111、123456等潜意识型的密码;
  2. 和帐号一样或者稍做修改;
  3. 用自己(或家人)的名字、生日、身高、手机号码等;
  4. 用Ilovexxx,xxx520等,臭屁点的人还会用woshitiancai之类的密码。
  5. ...
  还有很多类似的密码,有兴趣的话可以下载一些“黑客字典”来参考。总结起来,大多数密码都是在自身或周边取材,或经过简单的变化。因此,破解密码的过程其实也就是了解对方的过程,如果我对你非常熟悉,了解你就像了解我自己一样,你的生活习惯、喜好厌恶我都清楚,甚至你在想什么我都知道。那才你的密码不就等于想像一下自己会设什么密码(黑客们觉得这样很有趣,反感暴力破解)。而在这个开发的Web 2.0时代,通过人肉搜索收集个人信息可谓轻而易举。
  所以,提高密码的复杂度可能并不是简单的组合数学问题,尤其是那些心里藏不住秘密的人。

驻扎的网站是否够安全

  即使找到了一个安全的密码,也不过是万里长征的第一步。你驻扎站点的安全性又如何呢?每个时期都有其代表性的漏洞,我刚接触计算机时SQL注入漏洞就像今天的XSS一样风靡,即使是《黑客防线》等专业黑客站点也一样难幸免。黑客在取得服务器的绝对权限后,所有用户的密码都成为了明码。
  这并不是问题的关键,真正糟糕的地方还是在人本身:人都是有惰性的!你可以检查一下自己的密码:QQ、邮箱、网游……是不是用的都是相同(或相似)的密码?取得其中任何一个,几乎就是一卡通了。
  用户尚且如此,很多站长也同样是懒人。有多少中小型站点是按默认配置来运行的,哪天你无聊完全可以拿/data/dvbbs7.mdb这个路径去匹配动网论坛,指不定就下载到后台数据库。
  碰到一些霸道的站点,下载个文件还得注册,对于这些一次性光顾的网站,你注册时得多留一个心眼了。

这些站点值不值得信赖

  纵使访问的网站铜墙铁壁,这些站点值得信赖吗?我们能放心将自己的数据或信息交托给他们保管吗?Google喊出“不作恶”的口号,不管这是不是商业口号,但这不是一件很可悲的事吗:不作恶原本就是一个人的基本素质,却需要如此大肆宣扬。就和褒奖诚实守信、拾金不昧等传统美德一样让人痛心,这其实就承认了这个世道人心本恶。
  姑且不论有人恶意在自己的站点挂木马钓鱼等。像Google这样的公司将“整个互联网保存到自己的计算机里”,通过对这些数据的分析就能了解一个民族现在关注的事件、我们这一代人的喜好等等敏感信息。兵家的说法是“知己知彼,百战不贻”,我们的信息人家了如指掌,是不是会感觉脊骨发凉呢?

身边的人需不需要警惕

  上面的技能还都是远程的,还有一些能物理性直接接触。所谓“日防也防,家贼难防”,你是不是了解每个微笑的内涵,是不是清楚电话那头客气的原因,是不是明白偶然邂逅中的必然?黑客们更崇尚用“社会工程学”来获得所需的信息,因为计算机的战争归根到底始终是人与人的战争。以前在瑞中混了三年,远道校网管中心、近到超市保险柜、大到校长办公室、小到心理咨询师,所有密码我都了如指掌,因为他们并不提防我这样一个傻头傻脑的学生。所幸后来是因为XX事情金盆洗手了,不然可能现在也差不多该闯祸了~

这不是结束

  生活在这开放的时代,到处充满了惶恐,办事都要小心翼翼,网上冲浪举步维艰,你的密码安全吗?


评论

此博客中的热门博文

AutoHotKey 新手入门教程

AutoHotKey 真是一个好玩的工具!短短几行代码就是先了“窗口置顶”、“窗口透明”等功能,之前我还特意为此装了好几个小工具,现在都可以卸掉了。闲来无事,就把 Quick Start 翻译了一下,我没有逐字逐句地翻译,有时候我嫌原文罗嗦就用自己的话概括地描述了一下。 原文地址:http://www.autohotkey.com/docs/Tutorial.htm 教程目录 创建脚本 启动程序 模拟鼠标键盘 操纵窗口 输入 变量与剪切板 循环 操纵文件 其他特性 创建脚本 每个脚本都是一个纯文本文件,由一些能被 AutoHotKey.exe 执行的命令组成。一个脚本可能还包含 热键 和 热字符串 。如果没有热键和热字符串,脚本在启动的时候就会从头依次执行到尾。 创建一个新的脚本: 下载 并安装 AutoHotkey。 右击鼠标,选择 新建 -> 文本文档 。 输入文件名并确保以 .ahk 结尾。例如:Test.ahk。 右击文件,选择 编辑脚本 。 输入以下内容:#space::Run www.google.com 上一行的第一个字符 "#" 代表键盘上的 Windows 键;所以 #space 表示在按住 Windows 键后再按空格键。"::" 后面的命令会在热键激活后执行,在本例中则会打开谷歌主页。继续按下面步骤操作,来执行这个脚本: 保存并关闭该文件。 双击该文件来启动它。在系统托盘里会出现一个新图标。 按下 Windows 和空格键,网页会在默认的浏览器里打开。 右击系统托盘里的绿色图标可以退出或编辑当前脚本。 注意: 可以同时启动多个脚本,并且在系统托盘里都会有一个相应的图标。 每个脚本都能定义多个 热键 和 热字符串 。 想让某个脚本开机即启动,可以将它的 快捷方式放到开始菜单的启动目录里 。 启动程序 命令 Run 可以运行程序、打开文档、网页链接或快捷键。请参看以下示例: Run Notepad Run C:\My Documents\Address List.doc Run C:\My Documents\My Shortcut.lnk Run www.yahoo.com Run mailto:someone@somedoma...

OmniGroup

前几天买了OmniGroup全家桶,强迫自己熟悉这些“效率工具”。现记录一些自己的理解。 为什么这些工具的功能看起来有重叠? 我的理解是每一款应用都是面向特定领域的专业人士的,并不会真的有像我这么“变态”的人一下子买全家桶的。 每款工具各自的作用和区别? OmniFocus:面向个人的GTD工具,。 OmniPlan:面向小组的项目管理工具。OmniFocus和它的区别:前者管理个人的行动;后者管理一组人的任务。 OmniOutline:它和OmniFocus的功能重叠度很高,但作为区分:Focus更专注于Action,即动词;Outline更专注于清单,即名词。 OmniGraffle:这款应用和其他三款区别最大,它是画图软件。它用起来不像我自己开发的KingYoung那么“流畅”,但的确很漂亮。我为了方便使用,还把积灰已久的鼠标拿出来。 OmniFocus 收件箱:灵光一闪,马上收集 项目:根据项目,纵向地将Action组织到一起。项目的特点是有始有终。例如具体看某一本书 上下文:类似于Spring的AOP概念,从横向/切面上看Action。例如读书,可以贯穿所有读书项目 透视:其实就是搜索功能

人所不欲,勿施于人

谁说博客也要像论文一样结构清晰、有条理?! 软件卸载 昨天整理自己的本本,卸载了 VMware 7.0 + 深度XP,MS Office 2007 以及 Visual Basic 6.0。我承认这些都是盗版软件,不过剩下的应用程序都是自由软件(freeware)或免费软件(freeware),这下我的计算机“干净”了。闲来无事,我就细数了一下当初装这些软件的原因: VMware + XP:当初刚买本本的时候,正好在上软件工程实践,紧遵老师的教导“将自己的开发环境随身携带”,自然第一款软件就是装了虚拟机(学校机房里是肆无忌惮地用盗版 VMware),另外上课指定使用 Visio 作图,那也只好一起装了;当然,也有部分原因是因为某些人的计算机装的是 XP,我这边有个 XP 环境也是为了方便问题重现(我的本本预装了 Vista)。 MS Office 2007:在毕设期间,我也还是用 Open Office 和 WPS 2010,但现在公司用的却是 Office 2007(正版)。我这次卸载这款办公软件其实也是在提醒自己:工作的事情要在工作时间里完成! VB 6:你可能无法想象在我们科班的毕业设计中有多少是 VB6 项目,从大二开始,每逢毕业将至,总会有人来找我帮忙看那些不晓得从哪儿搜罗来的 VB6 代码,经不住软磨硬泡,我总会帮着改改;另一个原因在我自己,我一直下不了决心去学 MFC 等,所以但凡要做 GUI 程序,我都是拿 VB6 来画界面,再调用由 C 语言开发的 DLL 库,不过现在改用 QT,于是 VB6 可以功成身退了。 己所不欲,勿施于人 有些人就喜欢把自己的事全盘交托给别人来做,我一直不明白他们既然有精力去说服别人,为什么就没耐心自己去完成(所以我下面说人和人之间是无法理解的)。既然自己都认为这是无聊的事情,为什么偏偏又假设其他人会愿意无偿地帮你来完成呢? 两千多年前,孔老夫子提出“己所不欲,勿施于人”的观点,但到了今天,我听到关于这句话时的语境普遍是,A说:“那个XX东西你也不要了(或要了也没用),不如就让给我吧?”,B就义正言辞地反对:“那怎么可以!己所不欲,勿施于人嘛。” 己所甚欲,勿施于人 易中天老师在《百家讲坛》讲解诸子百家...