中国的网站安全的只有一半以下,北京振邦律师事务所合伙人王甫律师最近连续受到黑客攻击。他的邮箱密码被盗，导致新浪微博、博客、信箱均无法登录。

    王甫向北京市公安局报警，警方答复“因无任何财产损失而无法处理，建议找网络服务商”。而网络服务商则表示，因为黑客持续攻击王甫，连累了他所在小区的其他用户，很多人都因为掉线而不满。对于自己的遭遇，王甫说，“如果你不搬家或者不更换网络服务商，这种问题很难解决。”

    在现代社会，密码充斥在人们的生活中，翻开钱包，打开电脑，走进工作场所，信用卡、手机、网银、邮箱、保险柜、电子门禁…… 别的不说，光一个手机中，就有手机锁定密码、蓝牙密码、飞信密码、通讯记录查询密码等等。然而，如此高密度的密码使用，却未必能保证我们的安全。

    在新浪微博输入关键词“密码被盗”，可以找到55万多条相关的结果。其中声称密码被盗的既有一般用户，也不乏经过认证的各种职业人士，如演艺人员、商人、律师、作家、警察等等。

黑客猜10次能破解的密码占1%

    最理想的密码设置应该既容易记忆又不易被破解，可人们在实际中往往更注重前者，却容易忽视后者。但想象不到的是，围绕着“密码”，已经形成了一个新兴的产业，有多少人在对别人的密码虎视眈眈！

    曾经有黑客从一个叫RockYou的社交游戏网站偷盗了3200万个密码，结果发现：其中有36.5万人使用的密码是“123456”或“12345”。根据密码设置的可预见性，黑客编制了“常用密码辞典”，这给那些试图破解密码的人提供了方便。

    因为很难获得足够大的样本，因此研究者难以准确地描述人们选用密码的不安全性，究竟低到怎样的一个程度。像RockYou这样被入侵的网站提供了较大的样本，但是使用这类信息进行分析研究则存在着道德方面的问题。

    最近，一篇提交给某电脑安全研讨会的论文引起人们的注意，作者披露了一些过去不为人知的有关密码的真相。这个研讨会是纽约的专业团体“电子和电气工程师协会”组织的。牛津大学的约瑟夫·邦努和互联网公司雅虎合作，得到了迄今为止最大的、包括7000万个密码的样本。虽然样本中的用户都是匿名的，但这项研究还是发现了一些很有意思的现象。比如，年龄较大的用户比年轻用户的密码安全度要高（似乎越是那些熟谙技术的年轻人，越不在意这些事）；使用德语和韩语的用户，其设置密码的安全度是所有用户中最高的，而使用印尼语的用户的密码安全度最低。

    但是最让电脑安全研究者感兴趣的还是对这一样本的总评：尽管各个用户组的情况有所不同，但这7000万用户的密码从总体上说仍然具有高度的可预测性，无论是对于整个样本来说，还是对于各个用户组来说，都可以编制出有效用于破解密码的“词典”。领导这一研究的约瑟夫·邦努坦率地说：“黑客猜测十次就可以破解的密码，大约占总样本的1%。”这在黑客看来，显然是一个相当“令人鼓舞”的结果。

密码和手机号绑定更安全

    为了避免遭遇王甫律师那样的无奈，就要设置一个安全且便于记忆的密码。然而便于记忆的密码往往有规律可循，如自己或家人的生日、电话号码，这些密码都不安全。要想安全，就得没有规律性，如一串散乱的数字、字母、标点符号组合。然而这样的密码，别人是猜不到了，自己也不容易记住。

    为了增加安全性和方便性，用户可以将自己的密码进行分级，如分为三级：将在11等通过非实名认证的注册账号，设置一个安全性较低的密码，用一个密码可以来往于各个网站之间；为邮箱、支付宝、银行账号设置比较复杂的密码，密码可以由一句中文或者英文的每个字的首字母构成，配以标点符号。为了更安全一些，还可以将网上的账户密码和随身携带的手机进行绑定，通过手机绑定，密码被修改或者忘记，都可以通过手机短信找回。

    用户上网时也应该注意识别网站的安全级别，可以在浏览器上安装一个插件，每访问一个网站就会提示该网站的安全级别。访问安全级别低的网站就有可能被木马入侵，这样无论多安全的密码，都会通过木马泄露给黑客。

    还有一种替代方法是使用多词密码，又称为“联词口令”。在密码中使用几个词而不只是一个词，使黑客必须猜测更多的字母。但前提是，选取的联词不会被熟练使用某种“联词字典”的人所破解。

    邦努和他的同事曾经分析了网购商亚马逊所使用的联词口令系统，亚马逊在2009年10月到2012年2月容许它的美国用户使用这个系统。他们发现，虽然联词口令比密码的安全度确实高，但并不像预期的那样理想。由四五个随机选取的词组成的口令相当安全，但是要记住它，比记住几个随机选取的密码还难。这又一次说明，人们对“容易记忆”的需要总是使黑客有机可乘。

    在中国科学院信息安全国家重点实验室进行研究工作的张令臣表示，“密码其实应该称为口令，它是一种鉴别用户身份的简单易行的手段。在一些并不太重要或者安全要求不高的场合，口令就足以胜任了。比如在某个11注册一个账号，只是为了发表一些看法，看帖回帖，就算丢失或被人盗用账号也无关紧要。而在安全需求更高的场合，可以联合其他办法提高安全性，比如绑定手机号，登录时使用手机验证码，再如使用USB Key、电子口令卡、动态口令卡等。 ”

如何应对“盗码三板斧”

    目前，恶意盗取密码的方式主要有以下几种。暴力破解，黑客们将一些常用的数字组合如12345，以及常见的单词组合汇编成一本密码词典，再通过程序对账户的密码进行猜测。登录网站时，登录密码的页面会提示使用验证码，就是为了确认是自然人在登录网站，其目的就是避免这种情况的发生。第二种方式是通过木马盗取密码，木马利用计算机程序漏洞侵入用户电脑中，潜伏下来，记录账号密码，再将这些信息传输给木马的“主人”。第三种方式是通过“网络钓鱼”来盗取密码，钓鱼者向用户发送带有欺诈性的电子邮件，通知其更改密码，而用户更改密码的过程就是向“钓鱼人”告诉密码的过程。

    一个明显有效的防范措施，是在密码输入一定次数仍不正确后，禁止登录网站，就像自动取款机实行的办法一样。虽然一些超大网站如谷歌和微软等采取了这样的措施，但很多网站并没有这样做。邦努和他的同事在2010年调查了150个大型网站，其中有126个没有猜测次数的限制。

    对于有些网站来说，因为没有什么特别有价值的东西如信用卡信息需要保护，密码安全可能不是一个十分重要的问题。但是对密码安全的宽松态度，会给那些安全性能好的网站也带来问题，因为人们通常在若干不同的网站使用同样的密码。

    张令臣认为，网站应该在密码安全方面承担更大的责任，“不可否认，网民的安全意识参差不齐。但是就算网民深知如何设置安全的口令，很多人也会弃之不用，因为使用时太麻烦。我认为，保证安全性是Web应用提供者应该承担的，而不应该假设网民愿意使用复杂的口令。 ”

    360网站的一份报告显示，2011年我国网络安全水平总体偏低，国内存在高危漏洞的网站约占36%，中危漏洞的网站约占16%，而安全的网站只有48%。张令臣说，“Web应用的提供者有技术，也有资源，而且处于核心。让Web站点保证高安全性，肯定比让成千上万的网民提高安全意识要更容易些。 ”

    网络安全的问题可能永远没有最终的答案，因为任何安全措施都是“烦人的”。经常坐飞机的人知道，人们希望安全，但又希望什么事都简单易行，这两者总是冲突的。只要这个冲突存在，安全就不是绝对的。

 
 
  来源：《辽沈晚报》