報告稱密碼設為123456不如直接叫“來黑我”
以色列安全公司Imperva日前發布研究報告稱,盡管安全專家反復提醒,但仍有近五分之一的網絡用戶使用諸如“abc123”、 “iloveyou”(我愛你)或是“password”(密碼)之類的簡單密碼保護數據。在所有用戶使用的簡單密碼當中,“123456”是最常用的密 碼。
Imperva首席技術官阿米亥·舒爾曼(Amichai Shulman)對此表示,“我猜這可能是人類中的一個基因漏洞。早在上世紀90年代,我們就已對同樣的課題進行追蹤。”
社交應用開發商RockYou在上月因為SQL漏洞使3200萬用戶密碼遭泄露,這些密碼隨后被發布在網絡當中,黑客和安全專家都可對此進行下載。舒爾曼及其團隊對這些公開的密碼進行研究后發現,在3200萬用戶當中,有近1%的用戶使用了“123456”作為密碼。緊隨其后的密碼是 “12345”。其它被用戶經常性使用的密碼還包括“qwerty”、“abc123”和“princess”(公主)等等。
舒爾曼表示,更令人不安的是,RockYou名單上大約20%的用戶都使用了5000個最為常用的密碼。這意味著黑客只需要使用最常用的密碼,便能夠成功進入許多用戶的賬戶。隨著計算機性能的提升以及網絡速度的增快,黑客能夠在每分鐘使用計算機檢測數千個用戶密碼。舒爾曼說,“我們習慣上認為窮舉法是非常耗時的一種攻擊方式,因為每個賬戶都需要用大量的密碼進行測試。但事實上,選擇一些經常使用的密碼進行測試,黑客便能夠打開許多的用戶賬戶。”
為阻止用戶賬戶遭到黑客攻擊,如果多次輸入錯誤密碼,一些網站便會凍結該賬戶。不過安全專家對此表示,黑客可以使用諸多的伎倆來騙過系統,如按照可接受的速度進行窮舉法攻擊。為提供用戶密碼安全性,一些網站正在強迫用戶選擇字母、數字和符號組成的密碼。微型博客Twitter,更是禁止用戶使用常用密碼。不過研究人員指出,社交網絡和娛樂網站為取悅用戶,通常不愿對用戶密碼進行過多的管控。
在上世紀90年代中期,最流行的密碼曾是“12345”、“abc123”和“password”等等。為什么在安全人員反復勸說使用簡單密碼的風險多年之后,仍然有許多人在使用簡單密碼呢?原因是身處數字時代,用戶需要牢記各種各樣的密碼。黑帽會議的組織者、美國土安全顧問委員會 (land Security Advisory Council)顧問杰夫·莫斯(Jeff Moss)表示,“現如今,我們需要記住的密碼可能是10年前的10倍。語音郵箱密碼、銀行卡密碼、互聯網密碼等等,這讓用戶感到極度的頭疼。”
安全專家表示,最理想的狀態是,用戶應在不同的網站使用不同的密碼,這些密碼需要牢記在用戶腦海里,或是記在一張紙上。莫斯強調,用戶的密碼應當在 12個字節之上,這將會使用戶的賬戶很難被黑客攻破。