评论：云计算时代密码安全令人堪忧

　　我们总以为密码能保护我们的网络安全，然而进入云计算时代后，一串数字与字母组成的密码也力不从心了。云计算时代，黑客的破译密码又增加了哪些利器？对自己的网络安全，我们有何对策呢？

　　我们总以为密码能保护我们的网络安全，然而进入云计算时代后，一串数字与字母组成的密码也力不从心了。云计算时代，黑客的破译密码又增加了哪些利器？对自己的网络安全，我们有何对策呢？

　　这样的密码不安全：

　　-重复使用密码

　　-使用字典中的已有单词

　　-标准数字替换(例如，p455w0rd)

　　-使用短密码

　　使密码安全，需要这样做：

　　-尽量使用双重认证

　　-回答安全问题时提供假信息

　　-删掉网上的个人信息，如电话、地址

　　-用来接收密码重置邮件的邮箱要唯一且安全

　　今年夏天，《连线》知名科技作者Mat Honan(迈特·霍南)经历了这样一场灾难，他所有的数字信息和文字资料都被黑客删除了，损失惨重。为此，他投入网络安全研究，发现了密码系统难以克服的漏洞。

　　迈特·霍南被黑客摧毁线上生活

　　今年8月3日下午，迈特·霍南正在和女儿玩。而这个时候，黑客正在用行动摧毁他的线上生活。当他发现的时候，谷歌账号、Twitter账号和Apple ID全被盗用，黑客借此远程清除了他iPhone、iPad和MacBook中的所有数据，黑客还以他的名义在Twitter上发表种族歧视的言论。

　　事后，黑客通过网络给霍南留言，炫耀自己的“业绩”并告诉他，这一切开始于亚马逊网站的客户服务热线很乐意提供他信用卡账号的后四位；而在苹果的客户服务台，刚好就可以用这四位数重设他的苹果iCloud账户密码。

　　顺着这一线索，霍南捋清了自己被黑的经过：黑客以他的名义打电话给苹果客服，称无法登录邮箱，在提供了亚马逊给的信用卡后四位后，苹果客服给了黑客临时密码；按临时密码登录后，黑客收到苹果发来的密码重置邮件，根据邮件中的链接永久地重新设置了霍南的AppleID密码。随后，Gmail和Twitter也未能幸免。再之后，霍南的所有数字记录归零。

　　这件事反映了苹果和亚马逊系统的漏洞，但是在霍南看来，密码重置才是盗取一切信息的大开端。“如果你在AOL(美国在线)上有账号，黑客只需在谷歌上搜索你的真实姓名和居住城市，回答对了这些信息就可以重置密码。以新密码进入AOL后，黑客可以搜索你的网银账号，再按照‘忘记密码—重新设置—登录账户’的方式就有了你的银行账户和邮件地址。”

　　这个方法并不复杂，今年夏天被黑后，霍南也学会了如何获得他人密码。“在一个国外网站，我用2分钟4美元，就可以报出你的信用卡、电话、社会安全号码和家庭住址；5分钟后，可以登录你的亚马逊微软账号；再给我10分钟，我可以接管你的AT&T账号；而Paypal账号也不过需要再多20分钟。”

　　超级密码将威风不再

　　应该承认，在网络还处于形成期的年代，密码还是有效地保护了我们。这很大程度上缘自那时我们也没有很多资料要保护，一个邮箱、两个电子商务网站就足够了，几乎没什么数据需要保存在云端。当然，那时的黑客也没这么多。

　　随着云时代的来临，邮箱地址慢慢变成一种通用的登录账号，用它登录云端应用程序，我们在云端开设网银账号、管理个人财务、上税，上传照片、文档甚至私密数据，让各大网站托管他们的数据。而这时，黑客也多了起来。面对黑客威胁，网站的对策是采用超强密码：足够长，加入数字和区分大小写。

　　超级密码有两大准则。一是方便，如果密码一味追求长和复杂，就会使登录本身成为一种负担，毕竟256位的密码再安全也不会有人使用的。二是隐私性，整个网站都要被设计得很紧密来保护数据安全。

　　一度人们认为有了超级密码就足够了。但是，在这个运算法则的年代，我们随便一个手提电脑就拥有比10年前高端工作室更强的数据处理能力，纯靠蛮力计算破译一个长密码也不过是让电脑多运转一会儿，这还不包括近年新出现的黑客技术。

　　2011年，美国数据泄漏的事件上升了67%，其中大部分都付出了高昂的代价。比如，去年Sony PlayStation的数据库被黑，公司被迫花了1.71亿美元重建它的网络来保护用户账户，但加上负面影响带来的损失，一次被黑就能带来近10亿美元的经济灾难。这些都预示超级密码将威风不再。

　　黑客破解密码的利器

　　除了蛮力破译，黑客破解密码的第一个武器就是“蒙”。安全专家Mark Burnett调查显示，用户使用频率第一位的密码是“password”， 第二位是“123456”。令人震惊的并不是用户居然认为这么简单的秘密能保护隐私，而是各网站居然允许这么简单的密码设置成功。

　　此外，密码重复使用也是个问题。过去两年，雅虎、LinkedIn,、Gawker、 eHarmony被黑后晒到网上的用户名和密码中，居然有49%的用户在两个网站以上使用相同密码。相对而言，这些把密码晒到网上的黑客还算好人，真正可怕的是偷取你的密码后在黑市出售，那样你很可能要等到使用相同密码的账户崩溃后才发现。

　　黑客除了靠蛮力和“蒙”之外还会“骗”，最著名的当然是钓鱼网站。希普利能源董事会CTO Steven Downey就曾遭此厄运。当时，她点开黑客发来邮件里的链接，跳出一个伪造网站，登录后，后台恶意软件记录下她的账号和密码，里面的所有信息包括银行账户和她的行为、短语习惯都被黑客获知。最后，黑客冒充她给会计师要求转账骗走了近9万美元。

　　如果密码的问题仅止于此，我们其实还是有能力应对的。我们可以禁止不合格的密码，告诉大家不要重复使用密码，并培养网民对钓鱼网站的风险意识。但是，我们没办法突破人类记忆的局限，这就使我们无法永久记清密码，而且越难以破译的密码越难记。这就需要网站提供密码重置服务且不能太麻烦，而这正是黑客“摆平”密码保护的快捷通道。

　　霍南的例子充分证明打客服电话重置密码不安全。此事后，苹果取消了电话重置密码，但是不久《纽约时报》专栏作者David Pogue就被黑客通过网络重置密码成功。当时，他设置了3个安全问题：“我第一辆车是什么牌子”，“我最喜欢的车是什么牌子”和“2000年1月1日我在哪儿”。前两个谷歌搜索可以帮上忙，而第三个，由于是新千年第一天，黑客猜他也像多数人一样在“聚会”。

　　文/Mat Honan

　　编译/秦勉