僅僅在十年前,包括Hotmail賬戶和AIM證券賬戶在內,用戶的密碼安全都沒有受到很好的保護。最近一段時間以來,幾乎每一傢大公司的個人數據都爆出 瞭安全危機。《紐約時報》、Facebook、Gmail等等,都曾經遭受到過黑客的攻擊。雖然這些公司都采取瞭各種措施來保護這些大量的敏感數據,包括 信用卡、地址、通信方式等等。但是,自從計算機密碼發明這50多年來,安全人員和開發人員一直都想徹底解決密碼安全問題,並且遏止住這有點一發不可收拾的 勢頭。
第一代計算機密碼系統,是在1961年由美國麻省理工學院通過兼容分時系統(CTSS)創造,而這也成為瞭今天我們所有使用的計算機密碼系統的基礎。CTSS系統旨在通過相同處理器的計算機搭建獨立控制平臺。這樣,每個開發人員一個人就可以控制整個系統的安全。
“關鍵的問題是,我們雖然設置瞭多個終端,並且由多個人員使用,但是每個人都有屬於自己的私人文件。”CTSS項目負責人Fernando Corbato在接受《連線》雜志采訪時表示。“分別鎖定每位用戶的密碼似乎是一個非常簡單的解決方案。”
這些第一代的密碼是非常簡單和容易保存的,因為在當時復雜的黑客網絡攻擊和密碼破解程序還不存在,但是盡管這樣這個系統也非常容易被“蒙混過關”。在1962年,CTSS研究員Allan Scherr博士將所有儲存在計算機中的密碼打印瞭出來,因此比他之前每周隻被分配四小時的時間相比,擁有瞭更多的使用權。
“有一種離線文件打印請求,通過提交帶有賬號編號和文件名字的硬紙穿孔卡片,”Scherr在一份關於CTSS記錄文檔中寫到。“在周五的晚上我提交打印密碼文件的申請,而要到周六早上才打印成功,並且就擺放在外面。如果願意的話,任何人都可以繼續盜取這些密碼信息。”
隨著操作系統變得更加復雜,使用范圍更加廣泛,關於密碼安全的重視程度也變得越來越高。著名黑客Robert Tappan Morris的父親、前美國國傢安全局科學傢Cryptographer Robert Morris開發出瞭一種單項加密函數的UNIX操作系統,被命名為“hashing”。而他的兒子Robert Tappan Morris,後來作為著名的黑客,發明瞭第一個能通過網絡傳播臭名昭著的蠕蟲病毒。而老Morris編寫的“hashing”系統並不會將實際密碼儲存在計算機系統中,這樣信息就不容易被黑客攻擊。老Morris的加密策略,似乎已經實現瞭劍橋大學在60年代提出的發展構想。
而現代基於UNIX開發的系統,比如Linux在早期的時候使用瞭更安全的散列算法。如今,“salting”密碼在通過密碼功能之前會被添加獨特的字符,並且可以增加抵禦防護攻擊的能力。
然而,雖然數以百計的常用散列密碼仍然是加密的,但是依然可以被猜出。在過去的幾年中,黑客們曾經攻擊瞭包括Linkedln和Gawker的服務器,並且更容易的破解出瞭加密的密碼。
“在網絡發展的過程中,我們都會使用互聯網,而密碼工作也發著的相當不。”《連線》雜志編輯Mat Honan作為一位黑客攻擊的受害者在2012年寫道。“這很大程度上是由於他們並沒有多少數據需要保護。因為在雲端服務器上,幾乎沒有多少個人信息。而隨著雲技術的興起,越來越多的黑客開始將目光轉向瞭大公司的系統服務器。”
現在,就算從我們最喜歡的電視節目網站上,也能夠看到我們的個人資料,包括信用卡號碼以及所有受密碼保護的資料。而大公司的疏忽則一再讓悲劇發生。
首先,即使是在現在,仍然並不是所有網站都對密碼數據進行加密,一些程序仍然用“明文標示”的方式儲存秘密。而這就意味著他們現在的系統與幾十年前相比並沒有任何進步。如果一旦被某個黑客入侵瞭網站的服務器,那麼成千上萬的密碼和所有需要保護的個人數據,都在瞬間就會暴露在黑客面前。
黑客們通常根據人類的通性和習慣去猜測密碼。根據針對2013年幾次大規模的密碼泄露事件的調查報告顯示,有76%的網絡入侵是通過用戶賬戶的途徑。在通常的情況下,一旦黑客獲取瞭某個人的一個賬戶密碼,而這個用戶的其它賬戶密碼也非常危險。因為大多數人不同的賬戶都會使用相同的密碼或一些出現頻率非常高的簡單密碼(一些常用詞匯會不可避免的被當成密碼)。而這種名為“字典攻擊”(Dictionary attacks)的方式可以通過周期性嘗試字典中的高頻詞匯,毫不費力的破解這些簡單的密碼。
因此,大多數的網站都要求用戶使用更復雜的組合,並且在密碼之後還要求身份驗證。例如,用戶最好以大小寫字母、數字和特殊符號來組成密碼,並且建議用戶針對不同的網站使用不同的密碼。
但是目前互聯網用戶平均每天要訪問25個涉及密碼登錄的網站,而分別記住這些至少14位的不同密碼對於普通用戶來說是一個巨大的腦力負擔。
而現實狀況則是,目前普通用戶的密碼不僅不安全,有些甚至一定作用都沒有,大多數用戶隻是隨意敷衍的設置密碼。一位長期從事國傢網絡身份安全戰略研究的高級顧問Jeremy Grant在接受Mashable網站采訪時表示:“雖然12位至18位的復雜密碼具有高度的安全性,但是從可用性的角度上來說,大多數人並沒有這個耐心。相反,他們隻有一兩個簡單的密碼,並且到處使用。”
即使是最安全的密碼也很容易遭受到大量的策略性攻擊,包括暴力破解在內。當黑客或計算機通過惡意程序周期性的手動將所有可能的字母、數字與字符組合進行組合,同樣存在破解密碼的可能性。而為瞭訪問私人數據和收集個人資料,黑客們還有可能冒充用戶的目標網站來引誘用戶填寫自己的地址、電話號碼和賬號密碼的敏感信息。從而更加輕松的獲取用戶的個人賬戶信息,這就是所謂的釣魚網站。即使是最復雜的密碼,一旦用戶在這些假網站中輸入一遍,都可以輕易的欺騙用戶騙到密碼。
而這也難怪比爾·蓋茨曾經早在2004年就宣佈通過密碼保證安全的方法已經死亡。
在過去的十年中,不少研究人員和創業公司都在尋找加強密碼安全的方法,或者完全替代它們。這些成果包括瞭諸如LastPass、1Password這樣的個人資料管理工具,可以集中將個人數據、加密密碼進行保存,並且通過基於圖像或個人手勢的方式進行解鎖。
而一些公司已經為員工制定瞭二級安全措施,例如隨身攜帶的安全芯片作為主要的安全措施。同樣,谷歌公司已經透露最近計劃在小型的USB設備上加入加密密匙,可以作為一些重要設備的啟動密碼工具。
這些更先進的方法是很有前景的,但是並沒有引起太多的反響。比如像Nymi腕帶這樣的生物密碼設備仍然具有很大的缺陷。因為生物信息是完全不可替代的,一旦被盜或復制,用戶不可能重置自己的視網膜或心跳。而指紋掃描儀也面臨同樣的問題。“雖然指紋很難偽造,但也不是不可能。因此在銀行的時候我隻有在獨自一人的情況下才使用指紋功能。”密碼管理應用Mitro聯合創始人之一Vijay Pandurangan告訴Mashable。
最近,像谷歌公司的員工都開始啟用瞭雙重認證機制,增加瞭額外的一層密碼安全。並且要求驗證兩個獨立的方式,通常情況下是密碼和短信驗證碼的組合。但是,無所不能的黑客們依然可以通過諸如遊戲網站等形式事先獲取目標的手機號,這對於他們來說並不困難。
但是,雙重認證機制依然可能是未來密碼安全的關鍵。目前,密碼在網絡安全文化中處於根深蒂固的位置,並且想要讓整整一代已經熟悉密碼的用戶完全接受另一個全新的體系並不合理。但是多重身份驗證,通過傳統的密碼疊加通過短信獲取驗證碼或指紋密碼,是一種非常具有可行性變化的解決方案。理論上來說,一次普通的登錄需要嘗試的內容越多,黑客獲取所有登錄成功所需要的信息的可能性就越小。
“最好的安全解決方案,就是疊加多重元素的層級,因此破壞掉其中一層的話,並不會影響整個的生態系統。”Grant表示。“如果我們隻是登陸到Gmail賬戶,可以使用普通的密碼,並且通過谷歌的身份驗證程序。但是想要登錄健康記錄或銀行網站,可能就需要第二層的保護,比如電話短信驗證或生物識別技術。”
“到目前為止,智能手機已經為我們真的提供瞭一個多重驗證機制的優秀平臺,可以跨越一些過去存在的障礙。”
不過在多重身份驗證問題成為最安全的方法時,也要面對一定程度上的犧牲,比如用戶的隱私。而這些所需要的信息類型也要遠遠超過我們所能接受的程度。“安全系統要讀取用戶的位置和使用習慣,甚至就連說話習慣和DNA都有可能。”Honan在《連線》雜志文章中寫到。
但是Grant指出,任何對於消費者來說過於復雜的技術都將被無情的拒絕。未來的安全技術不應該將復雜的技術直接帶給消費者,不能為用戶帶來不便。而獲取地理位置等信息則是非常有前途的途徑。未來,如果設備識別用戶從一個陌生的國傢或地點登錄,就會開啟額外的安全機制。而目前部分Facebook用戶已經開始遇到過這種情況。當系統識別用戶從陌生的IP地址登錄後,就會面對第二甚至第三層的安全措施驗證。
如果我們繼續選擇將個人信息在線保存,那麼就要被迫接受犧牲掉某些便利性和隱私,至少目前是這樣。我們別無選擇,隻能面對。同時,別忘瞭繼續加強我們常用密碼的復雜程度。
Orignal From: 密碼進化史:為何安全依然距離很遙遠
留言列表
