2011年7月8日 星期五

如何設置更安全的密碼?

如何設置更安全的密碼?
2011年 07月 08日 07:59
管互聯網有種種優點﹐但記憶電子郵件、網上銀行、社交網絡和購物網站的密碼卻讓人頭疼。

許多人上網時只使用一個密碼。網絡安全專家說﹐這是個壞習慣。

線上支付服務公司PayPal(eBay的子公司)的首席信息安全長邁克爾•巴雷特(Michael Barrett)說﹐“所有地方都用同一個密碼﹐就好比給你的房子、車子、健身房更衣室和辦公室配同一把鑰匙。”

巴雷特的電子郵件和Facebook帳戶用的是不同的密碼——這僅僅是開始。他的第三個密碼用於金融網站——比如銀行和信用卡的密碼﹐第四個密碼用於主要的購物網站﹐例如亞馬遜(Amazon.com)。他還為自己不常訪問或不信任的網站設置了第五個密碼﹐例如博客和出售園藝工具的線上商店。

Associated Press
安全專家稱﹐最近接連發生的網絡攻擊表明黑客正在花更多時間攻入大型數據庫以獲取密碼。例如﹐今年4月﹐黑客獲得了索尼公司(Sony Corp.)PlayStation Network的7,700萬使用者的密碼及其他信息。6月﹐谷歌公司(Google Inc.)表示﹐黑客攻入了該公司的電子郵件系統﹐並獲得了美國政府官員的密碼。

巴雷特說﹐所謂的暴力破解攻擊﹐即黑客試圖猜出個人密碼的行為﹐似乎也正在增加。

PayPal稱﹐每三個人中﹐就有兩個人在所有網站上只用一、兩個密碼﹐而網絡使用者人均擁有25個網絡帳戶。安全軟件公司PC Tools 2009年在英國進行的一項調查發現﹐男性在這方面做得尤其糟糕﹐47%的男性只用一個密碼﹐相比之下﹐只用一個密碼的女性比例為26%。

去年PC Tools做的另一項調查顯示﹐在18歲至38歲的澳大利亞年輕人中﹐28%的人擁有的密碼很容易被猜中﹐例如愛人或寵物的名字﹐而犯罪分子可以很容易地從Facebook或其他公共網站上獲得這種信息。還有些密碼也很容易猜中。去年﹐黑客們發貼公佈了一份Gawker Media使用者最常用的密碼名單﹐包括“password”(密碼)、“123456”、“qwerty”、“letmein”(讓我進去)和“baseball”(棒球)。

Mozilla Corp.的安全經理布蘭登•斯特恩(Brandon Sterne)說﹐“如果你的密碼在這張名單上﹐請儘快更改。”該公司的產品包括火狐(Firefox)流覽器和其他軟件。他說﹐黑客“會使用名單上的前100個密碼攻擊網站上的所有使用者數據庫”﹐以攻破一部分帳戶。

PC Tools的總經理戴夫•科爾(Dave Cole)說﹐人們通常會在受到黑客攻擊後開始更改網絡密碼。然而﹐他說﹐“在短時間後﹐除了最謹慎多疑的使用者以外﹐所有使用者都會回歸到被黑之前的行為。”他和其他安全專家建議人們每年更改或輪換幾次密碼。

要想設置出強大的密碼﹐有些安全專家建議﹐可以先選擇一個好記的短語﹐然後用這個短語中每個詞的首字母作為密碼。比如﹐選擇“to be or not to be, that is the question”﹐每個詞的首字母組合就是“tbontbtitq”。也有人建議將一組不匹配的詞放在一起作為密碼。密碼越長——專家說﹐至少為八個字母——就越安全。

選定用作密碼的短語後﹐還可以用特殊符號或數字代替字母﹐以產生更複雜的密碼。還可以將密碼中的某個字母大寫﹐比如大寫第二個字母﹐來增加安全係數﹐這樣﹐“tbontbtitq”就變成了“tBOntbtitq”。

不管一個密碼有多好﹐只使用一個密碼也是不安全的。巴雷特建議照他的樣子做﹐對四類不同網站分別設置更強的密碼——電子郵件、社交網絡、金融機構網站和電子商務網站——並對不常訪問和不可靠的網站設置第五個密碼。

然而﹐如果犯罪分子在電腦上安裝了所謂的惡意軟件﹐使他們能跟蹤電腦使用者的按鍵情況﹐那麼即使是最強的密碼也沒用。安全專家說﹐人們可以隨時更新殺毒軟件和反間諜軟件﹐避免從未知網站和電子郵件發送方下載文件﹐以防止發生這種情況。

有些安全專家建議﹐對於同一類別的不同網站也應稍微修改一下密碼。像微軟(Microsoft Corp.)這種公司會提供免費密碼強度測試﹐但使用者不應完全依賴它﹐因為這種強度測試無法測出密碼是否包含容易找到的個人信息﹐例如生日或寵物的名字。

Mozilla公司的斯特恩說﹐每個電子郵件帳戶都使用獨立的密碼尤其重要。許多網站都有“忘記密碼”按鈕﹐當按一下該按鈕時﹐就會通過電子郵件啟動找回密碼過程。然後﹐攻入電子郵件帳戶的黑客就可以攔截這些電子郵件﹐控制用該電郵位址註冊的每個帳戶。

有些網站﹐例如谷歌和Facebook﹐現在讓人們用手機號碼綁定帳戶。如果你忘記了密碼﹐網站就會打電話或者發送短信給你來重設密碼。

巴雷特說﹐人們應該記住四、五個好密碼。如果記不住﹐可以把它們寫在一張紙上﹐放到錢包里﹐然後在記住所有密碼後就把備忘單扔掉。

沒能記住全部密碼的人可以使用密碼管理器。有幾種密碼管理器是免費的﹐例如LastPass。LastPass鼓勵使用者創建一個主密碼﹐然後對不同網站創建並儲存隨機密碼。有些安全專家警告人們不要使用遠端儲存密碼的管理器﹐但LastPass的首席執行長喬•西格里斯特(Joe Siegrist)說﹐黑客無法獲取這些密碼﹐因為所有數據都是加密的。

人們在創建不同密碼後所能做的最糟糕的事是:把它們記在便利貼上﹐貼在電腦顯示幕上。斯特恩說﹐“這完全背離了設置密碼的目的。”

27歲的希瑟•奧尼爾(Heather O'Neill)是三藩市一家科技公司的員工﹐她的谷歌電子郵件帳戶今年早些時候被黑了。她說﹐她在幾個網站用的都是同一個密碼﹐而那個密碼強度很弱。

她說﹐“我不能在哪裡都用一個密碼。每個密碼都應該不一樣。”

Stu Woo

沒有留言:

張貼留言