当前位置:99696大富豪棋牌 > 新闻动态 > 黑客每分钟就可以破译出几千个密码,这是美国

黑客每分钟就可以破译出几千个密码,这是美国

文章作者:新闻动态 上传时间:2019-10-06

(真陆行鸟,Revolucion/编译)一项最近的研究表明,1%的密码可以在4次之内猜中。

password能够用来保护你的金融交易、你的社交网络站点,和其它貌似安全的在线站点的主机。人们常常说:“不要把字典里的单词用来做password。它们超级不安全”。

美国国家安全局(NSA)为了破译恐怖组织的密码以挫败其阴谋,斥巨资建造了一台可以破解一切密码的机器:万能解密机。这是美国作家丹•布朗在其小说《数字城堡》中虚构的情节。以人类今日之科技实力,打造这样一台无坚不摧的“神器”还只是个遥远的梦想,但如何在网络社会中保护自己的个人隐私一直是个现实的问题。20多年来,现代人已经掌握了“数字城堡”——密码的构造方法,自认为可以高枕无忧,但事实远非如此。

摘要: IP、IC、IQ卡,通通告诉我密码……在黑客横行的今天,安全的密码是保证你的邮箱等网络账户安全的重要手段。但一份调查显示,美国互联网用户使用最多的密码竟然是“123456”,排在第二位的是“12345”,常用的密码还有“password”、“iloveyou”等,如此简单的密码怎能美国网民最爱用密码123456IP、IC、IQ卡,通通告诉我密码……在黑客横行的今天,安全的密码是保证你的邮箱等网络账户安全的重要手段。但一份调查显示,美国互联网用户使用最多的密码竟然是“123456”,排在第二位的是“12345”,常用的密码还有“password”、“iloveyou”等,如此简单的密码怎能不引来黑客的破解攻击呢? “RockYou”被盗的3200万账户中,使用频率最高的32个密码网络安全,很多人没当回事当网络刚刚闯入我们的生活时,人们最常用的密码是“12345”。今天,最流行的密码长了一位——“123456”,但却很难说会更安全。尽管近年来关于网络安全问题的报道层出不穷,比如最近谷歌邮箱遇到攻击事件,但很多人根本没把这个问题当回事。一项新的数据显示,五分之一的网络用户依然认为网络密码就起个开门钥匙的作用,他们大多选择一些非常简单很容易猜出的符号作为密码,比如“abc123”、“iloveyou”甚至“password”。阿米海·舒尔曼是“数据库”公司首席技术师,他制造出了阻止黑客攻击的软件,他说:“我想这只是人类基因上的一个缺陷。我们现在还是在沿袭上世纪90年代的操作习惯。”密码简单,3200万账户被盗上个月,一家类似于“脸谱”和“MySpace”的社交网站“RockYou” 有3200万用户的密码被身份不明的黑客盗取。“RockYou”将这3200万用户的资料都公布在网上,黑客可以毫不费力地下载,在受到广泛的批评后,“RockYou”建议用户赶紧修改密码,但为时已晚,黑客根据网上公布的用户资料破译了密码。舒尔曼和他的公司对这3200万被盗密码进行了研究,发现了网络用户设置密码的习惯。他们发现,3200万用户中将近1%的人以“123456”作为密码;使用第二多的密码是“12345”。排名前20位的密码还有“qwerty(打字机键盘)”、“abc123”和“princess(公主)”等等。舒尔曼说,更令人不安的是,3200万被盗账户中大约五分之一所使用的密码来源于相当接近的5000个符号。这意味着,只需要尝试人们常用的密码,黑客就可以进入很多账户。由于电脑和网络运行速度的加快,黑客每分钟就可以破译出几千个密码。舒尔曼说:“我们以为破译密码是个非常耗时间的攻击方式,你必须对每个账户都一个字符一个字符地试,每破译一个密码都需要试大量的字符。但实际情况是,只要选择人们最常用的几个字符就能破译大量的密码。”网站防黑,很难很麻烦如果在一定时间内密码输入错误次数太多,账户就会被冻结,有些网站试图用这种方式阻止黑客的攻击。但是专家说黑客可以很容易地骗过系统,比如,按系统允许的频率试验密码。为了提高安全性,有些网站强迫用户在设置的密码中必须包括数字、字母甚至各种符号。而“推特”之类的网站甚至禁止用户使用那些太常见的密码。不过,研究人员说,社交网站和娱乐网站通常采取方便用户操作的态度,不愿意对用户进行过多的限制。而要想冻结账户,eBay之类的商业网站就必须掂量掂量后果了,因为黑客声称他们可以冻结竞争者的账户,抢得拍卖品。密码太多,现代人不堪重负过多使用简单的密码不是今天才有的现象。上世纪90年代中期就进行过类似的调查,结果发现,人们使用得最多的三个密码是“12345”、“abc123”和“password”。为什么这么多人无视危险,选择这么容易猜到的密码呢?安全专家认为,这主要是因为在数字时代我们要记住的数字实在太多了,已经到了让人不知所措的地步。杰夫·莫斯,流行黑客研讨会的创办者,现在是美国国土安全部的顾问,他说:“现在,我们头脑中要记住的密码是10年前的10倍。语音邮件密码,ATM密码,还有网络密码……想记住所有的密码几乎是不可能完成的任务。”在专家倡导的理想化世界,人们在每个网站上都有不同的密码,人们必须记住这些不同的密码,如果需要,还要拿笔记在纸上。但是我们的大脑已经过于拥挤,基于此专家建议每个人至少选择两个不同的密码:一个复杂一点,主要用于对安全性要求较高的地方,比如银行、电子邮箱等等;另一个简单一点,用在风险较低的地方,比如社交网站和娱乐网站。莫斯先生认为密码至少要有12个字符,可是数据显示,这是一个很难完成的任务,数以百万计的人选择的是5位或6位的密码。

怎么可能?简单!尝试四个最常见密码。password,123456,12345678,和qwerty,这就打开了1%的大门。

但是,要是黑客们能想办法破解不论什么16位字符的password,那该怎么办?

越复杂的密码越安全吗

很不幸,答案是否定的。人们通常认为,把密码设得越复杂,别人就越难猜到,但这样一来无疑增加了记忆的难度。而对于那些企图窥探你秘密的人来说,他们也只是想不到,而非“猜不到”。现如今,还有几个人破译密码是靠大脑“猜”的呢?

99696大富豪棋牌 1

这就正如 XKCD 所说的那样:经过二十年的努力,我们成功地陷入一个误区,那就是把密码设的越来越难以记忆,然而却被计算机很轻松地就破解出来了。

好吧,你是那99%的人之一,但你还要考虑到而今黑客软件的速度。John the Ripper是一款免费的黑客软件,每秒钟能测试数百万密码。还有一款商业软件本来是用在刑侦领域里(在查封的电脑中寻找儿童色情或者恐怖分子的信息),号称每秒能测试28亿密码。

99696大富豪棋牌 2

保证密码强度的关键是什么

那保证密码强度的关键到底是什么呢?其实,上面的漫画已经给出了答案:密码长度。

这里引入信息学中的信息熵(我们常听人说这个信息多、那个信息少,对信息“多少”的量化就是信息熵),用它来作为密码强度的评估标准。信息熵计算公式为 H = L * log 2 N,其中,L表示密码的长度,N的取值见下表:

99696大富豪棋牌 3

从上面的公式和表中,我们可以看到,密码强度 (H) 与密码长度 (L) 和密码包含字符的种类 (N) 这两个因素有关。然而它们对密码强度的影响是呈指数倍的关系。

举个例子,假设密码长度的单位为比特,8个比特即为一个字节(即输入密码时的一个字符,一个字节可以代表256个不同字符),如果某台超级计算机的计算能力为每秒能完成 2 56 次组合运算,破解8个字符组成的密码仅需4分16秒。当密码长度达到16个字符的时候,暴力破解它需要 149,745,258,842,898 年!要知道太阳的寿命也只有约10,000,000,000 年,而目前世界上速度最快的计算机K Computer也只能每秒完成约 2 53 次运算。当然,这只是一个极端化的例子。事实上,我们可以用来当密码使用的字符只有 95 个( 26 个小写字母 + 26 个大写字母 + 10个数字 + 33个标点符号)。

一开始,破解软件会运行一套穷举式的、时常更新的流行密码表,然后再是整个字典,包括所有的常见人名,昵称和宠物名。而今我们这些用户,在反复羞辱和威胁之下,大多学会了往我们的密码里加数字、标点和奇怪的大小写,这叫“重整”(mangling)。理论上,这能让密码变得难猜许多——实际上,效果远没有那么好。几乎所有人的思维都会遵循那些早已被踏平的熟门熟路。如果网站要求你的密码里必须有数字,那password变成password1或者password123的频率会让你吃惊的。而要求你必须大小写同时出现的密码就会产生Password或PaSsWoRd。必须有特殊符号的结果则是password!和p@ssword。你以为$pider_Man1这种密码真的有看起来那么安全?每个人都觉得自己很机智,最后都机智到一块去了。

那些试图潜入你的数字后院的犯罪分子或入侵者们总是能找到办法。

更大的风险所在 :万能钥匙

在现实生活中,我们都选择“一把钥匙开一扇门”。谁都不会希望有一把钥匙既能用来开家门,也能用来开车门、公司的门、宿舍的门,因为这把“万能钥匙”一旦丢失,损失将是惨重的。随着网络社会的发展,如今大多数人都握有十多个网站的账号,你是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?如果是前者,那么无疑将增加你的记忆负荷,如果是后者,安全隐患是显而易见的。

99696大富豪棋牌 4

图像来源:XKCD

而要说的是,许多人都意识到了这点,并且为了避免这种情况,相当一部分人选择将密码分为两部分,一个主要部分(比如是 123456 ),另一部分则根据账户而定: QQ 的密码就设为 qq123456 ,而 gmail 的密码则是 gmail123456 等等。但如此直白的设置,颇有掩耳盗铃的味道,一旦一个账户失窃,看穿这个规律,也不过一秒的事情而已。

而且我们还有理由担心,因为网站强制采取重整,会逼迫用户去使用那些简单好记的密码作为重整的“底子”——因为重整本身很难记。它带来的安全感是虚假的。

针对用MD5加密函数转换为哈希值的16,449个随机生成的密码列表,一个黑客团队已经破解了当中超过14,800个。

与黑客的博弈

为了规避上述种种风险,大家开始设定许多个又长又复杂的密码。但复杂的长密码并不容易记住,更何况是要记住好几个这样密码(请问有谁没有忘记过密码呢)。在经历了多次遗忘密码的痛苦之后,人们又开始倾向性地选择那些容易让自己记住的信息作为自己的密码。比如自己或亲人的姓名、生日、电话号码等等。但这恰恰把安全隐患留给了躲在暗处的黑客。

99696大富豪棋牌,有人对用户的密码做过统计,研究他们设置密码时的偏好,并将统计结果绘制成图。 61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用(比如把 guokr123@ ...的密码直接设置为 guokr123 )。这些都是具有安全隐患的密码设置策略!黑客们了解用户的密码设置习惯后,就可以编写“密码词典”,有了这本词典后,就可以在暴力破解的时候大大提高精准性。比如在 这里 可以下载到 10,000 个常见密码的词典(该词典作者称有 99.8% 的用户都是使用这本词典中的密码)。有人对Sony公司的用户密码也做过 研究调查 ,结果也令人堪忧。

99696大富豪棋牌 5

用户密码设置使用习惯

有网站如 1PASSWORD 给出了新的策略。它相当于为你提供了一个带锁的记事本,可以让你把所有的密码记在这个记事本上,你只需保留开锁的钥匙/密码即可。撇开这个网站的靠谱程度不谈,单单为了这样一个记事本,你就要付出 40 美元的代价。同时请别忘了,它仅仅为你解决了记忆密码的问题,还是没有逃开设置密码这个更加头疼的问题。

本文由99696大富豪棋牌发布于新闻动态,转载请注明出处:黑客每分钟就可以破译出几千个密码,这是美国

关键词: