在LinkedIn、Zappos、Dreamhost和其他最近被駭客入侵的著名網站之間,你最近可能一直在考慮自己的線上安全問題。但是,當這些網站中的一個被駭客入侵時,這意味著什麼?你如何保護自己?以下是你的密碼是如何儲存在網際網路上的,以及當你使用的網站被破壞時對你意味著什麼。
一個站點有很多方法可以儲存您的密碼,有些方法比其他方法更安全。下麵是最流行方法的簡要介紹,以及它們對資料安全的意義。
工作原理:網站儲存密碼的最簡單方式是純文字。這意味著在他們伺服器的某個地方,存在一個資料庫,其中以可讀的形式包含您的使用者名稱和密碼(也就是說,如果您的密碼是testing123,它將作為testing123儲存在資料庫中)。當您在站點上輸入憑據時,它將根據資料庫檢查憑據是否匹配。從安全性的角度來說,這是最糟糕的方法,而且大多數著名的網站都不以明文形式儲存密碼。如果有人入侵這個資料庫,每個人的密碼都會立即被洩露。
我的強密碼重要嗎?不可能。不管你的密碼有多長或多強,如果它是以明文形式儲存的,並且網站遭到駭客攻擊,你的密碼很容易被任何人訪問,不需要任何工作。它仍然是重要的方面隱藏你的密碼,比如說,你的朋友,或其他人很容易猜到它,但它不會有任何區別,如果該網站被駭客攻擊。
工作原理:為了給你的密碼增加比純文字提供更多的保護,大多數網站在將密碼儲存到伺服器之前都會對密碼進行加密。加密,對於那些不知道的人,使用一個特殊的金鑰把你的密碼變成一個隨機的文字字串。如果一個駭客得到了這個隨機的文字字串,他們將無法登入到你的帳戶,除非他們也有金鑰,然後他們可以用它來解密。
問題是,金鑰通常儲存在與密碼完全相同的伺服器上,因此如果伺服器遭到駭客攻擊,駭客不必做太多工作來解密所有密碼,這意味著這種方法仍然非常不安全。
我的強密碼重要嗎?不。因為用金鑰解密密碼資料庫很容易,所以你的強密碼在這裡也不會有什麼區別。再次:這是在網站被駭客攻擊方面;如果你有一個愛管閑事的朋友或家人翻閱你的東西,一個強大的密碼可以幫助他們從猜測它。
工作原理:Hashed與加密類似,它將您的密碼轉換為一長串字母和數字來隱藏。然而,與加密不同的是,雜湊是單向的:如果你有雜湊,你就不能反向執行演算法來獲得原始密碼。這意味著駭客必須獲得雜湊值,然後嘗試多種不同的密碼組合,看看哪些密碼有效。
然而,這種方法也有缺點。雖然駭客無法將雜湊解碼回原始密碼,但他們可以嘗試許多不同的密碼,直到其中一個密碼與他們擁有的雜湊匹配。計算機可以很快做到這一點,藉助於彩虹表(rainbow tables),它本質上是一個數萬億個不同雜湊值及其匹配密碼的列表,它們只需查詢雜湊值,看看是否已經被髮現。嘗試在Google中輸入e38ad214943daad64c102faec29de4afe9da3d。您很快就會發現它是“password1”的SHA-1雜湊。有關彩虹表如何工作的更多資訊,請檢視本文,方法是編寫專家jeffatwood。
我的強密碼重要嗎?在這種情況下,是的。彩虹表由已經過雜湊測試的密碼組成,這意味著真正脆弱的密碼將很快被破解。然而,他們最大的弱點不是複雜性,而是篇幅。你最好使用一個很長的密碼(比如XKCD著名的“正確的馬電池釘”)而不是一個短而複雜的密碼(比如kj$fsDl)。
工作原理:對雜湊進行加密意味著在對密碼進行雜湊加密之前,在密碼的開頭或結尾新增一個名為“salt”的隨機字串。它對每個密碼使用不同的salt,即使salt儲存在相同的伺服器上,也很難在彩虹表中找到那些salt雜湊,因為每個salt雜湊都是長的、複雜的和唯一的。LinkedIn以不使用鹽類雜湊而聞名,這使得他們在最近的駭客攻擊後受到了很多審查如果他們使用鹽類,他們的使用者會更安全。
我的強密碼重要嗎?當然!然而,不幸的是,我們已經到了這樣一個地步:計算機的速度如此之快,以至於許多人甚至能夠對鹹雜湊進行暴力破解。它可能需要很長的時間當然比使用彩虹表更長,但它仍然是可行的。這意味著密碼的強度仍然很重要,因為密碼越長越複雜,破解暴力攻擊所需的時間就越長。
工作原理:目前,大多數安全專家都認為速度較慢的雜湊是儲存密碼的最佳選擇。像MD5、SHA-1和SHA-256這樣的雜湊函式速度相對較快:如果鍵入密碼,它將相當快地返回結果。在暴力攻擊中,時間是最重要的因素。透過使用像bcrypt演算法這樣的較慢的雜湊,暴力攻擊需要花費更多的時間,因為每個密碼都需要更多的時間來計算。
我的強密碼重要嗎?再次強調,由於強密碼更難使用暴力,因此強密碼在這裡絕對可以幫助您。如果你的密碼很強,可能需要很長很長的時間才能發現一個緩慢的雜湊。
那麼這一切對你意味著什麼呢?以下是您應該從這些資訊中獲得的資訊:
標題圖片從帕爾蘇爾混音。
...能,因此您可以確保使用它儲存的資訊是安全的。此外,您的資料將被加密,這意味著除了您之外,沒有其他人可以訪問或讀取它,甚至蘋果也不行。相關:如何建立一個強大的密碼,你不會忘記這個密碼管理器的另一個有用的...
... 如果您使用這種密碼保護來保護您的VBA程式碼,請知道有一種解決方法。這充其量只是一種威懾——任何有能力執行谷歌搜尋的人都會確切地知道如何突破你的防禦。 ...
...案之前,使用者名稱/密碼組合就是阻止惡意使用者進入您的電子郵件、銀行和Facebook帳戶的唯一方法。因此,您需要安全的密碼來保護您的資訊,最好的方法是使用密碼管理器。 ...
...你應該怎麼記住它?這些應用程式將使用新的強密碼升級您的安全性,您可以跨帳戶快速更新。 ...
...持一個網站的字元要求 密碼將自動儲存到您的帳戶 您的帳戶可以透過Chrome瀏覽器或線上訪問 你的密碼是安全和加密的 你被連結到谷歌的生態系統 ...
...入侵了。駭客可以進入一個記錄了密碼的賬戶列表。假設您的密碼是“Pa$$w0rd”(我們真的希望不是這樣)。網路罪犯可以掃描列表,找到你的電子郵件地址,並很容易閱讀你的“安全”登入名是“Pa$$w0rd”。 ...
...個人資訊。無論您是在網上購物還是使用遠端醫療服務,您的密碼都是一道屏障,阻止不需要的訪問者訪問您的帳戶。 ...
...密碼可能在資料庫中,即使不是你的帳戶被破壞。 如果您的密碼在HIBP網站上,這意味著它在密碼列表中,威脅參與者的暴力和字典攻擊工具在試圖破解帳戶時使用。 一個真正隨機的密碼(比如4HW@HpJDBr%*Wt@#b~aP)幾乎是無敵的,...
...觸“安全挑戰” LastPass將提示您輸入主密碼,然後再分析您的密碼庫,查詢您可以改進的問題。 提高主密碼分數 主密碼分數“根據主密碼的長度和複雜程度”對您的主密碼進行評級。如果您的主密碼與vault中的密碼匹配,也就...