重庆晨报 “请输入账号密码……”这个我们在众多网站司空见惯的模式,一不小心,就成为出卖我们信息最大的凶手。伴随着互联网诞生第一天就出现的个人密码,在今天依然是普通用户、网站管理员和黑客之间斗争的永恒对象。如何保证密码不被黑客盗取?没有最安全的密码,但我们至少可以让自己的密码变得更安全。 泄密探因 密码要经过一段旅途 为什么会发生如此大规模的密码泄露事件?中国软件评测中心高级工程师朱璇表示,问题出在两个方面,使用者的密码设置过于简单,网站管理出了问题。 当我们登录一个普通网站时,密码要经过这样的一段旅途:我们先在键盘上输入密码,网站将其上传到服务器,然后在服务器中保存,当我们丢失密码时,需要通过某种验证才能重新获得密码。 这每一个环节,都可能被黑客攻击,获得密码。 在输入密码阶段,黑客只需攻击个人计算机终端,当计算机中了木马病毒时,键盘里敲击的密码就可能被黑客截获,病毒也可能搜索计算机文件,获得里面和密码相关的信息。 在密码上传阶段,朱璇表示,密码信息上传到服务器,这段旅途虽短,但很多网站,包括一些论坛,都没有把密码明文加密的习惯,成为黑客攻击的薄弱环节。 如果上传的密码过于简单,也很容易被黑客用“暴力攻击”的形式获得,如姓名、生日、电话等,黑客可以设计一个小程序,计算出来。 服务器保存 明文保存密码相当危险 密码到达终点,即网站服务器,它的保存方式也被黑客盯上。此次密码泄露,就是因为很多网站以明文形式保存用户的密码,而没有任何加密,当黑客攻击进入服务器后,就可以直接看到裸露的密码原文。 果壳网“死理性派”主编吴苏介绍,明文保存密码相当危险,黑客只要获得了密码数据库,再复杂的密码,都可以看到。 他介绍,现在网站服务器已经有了很普遍的加密方法,叫做哈希函数。但即使用了哈希函数加密,也不代表无懈可击。密码分析学家阮风光说,如果一串被哈希过的密码被盗,只要密码过于简单,黑客同样可以获得。 通常,黑客手中,都有一份很长的列表,称为“碰撞库”,里面储存的是很多常用密码对应的哈希值。朱璇介绍,现在网上有专门的网站对哈希值进行破解,根据密码难度进行收费。“比如要破解admin123,属于最常用的前1万个密码,你只要花1毛钱,如果密码是123456,就可以给你免费破。”“万恶之源是密码过于简单。”朱璇说。 密码矛盾 安全和便利不可兼得 “互联网安全问题分成管理层面和技术层面,密码安全横跨两个层面。”朱璇说。 对于网站而言,需要考虑的安全因素太多了。比如,开发代码中是否存在漏洞,服务器所处的地理位置是否足够安全等等,任何一个环节出了漏洞,就可能被黑客攻进。 “一切都是需要花钱的。”密码分析学家阮风光说,“比如你要在服务器中对密码进行加密,就可能需要雇用有安全背景的人来写软件。” 目前,科学家和工程师们也在尽量让身份识别变得更为容易,如生物指纹或视网膜鉴别等等方式,但即使这些额外的保护措施,同样需要花钱。“人们得意识到,更高的安全度,就意味着更多的钱。”阮风光说。 他表示,计算机科学技术发展到今天,人们也一直没解决密码安全性和便利性的矛盾,始终没有完美的解决方式。原则上,密码越长,越安全,可是也越难记住,哪怕记在电脑或者纸上也是不安全的。此外,用户如果在不同网站使用不同的密码,也更安全,但是却很不方便,很难记住这么多的密码。“要安全,就得舍弃方便,要舍弃麻烦而图便利,就可能不安全。” 现状> 40部法律难约束个人信息泄露 工信部电子科技情报研究所副所长刘九如统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。 “针对个人信息的法律法规并不少,然而内容较为分散、法律法规层级偏低。”刘九如说。 刑法修正案(七)被认为是个人信息立法的标志性事件之一。 2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。 但这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。诸多法律界人士认为,刑法未明确该罪的具体界定标准,这一条款还有进一步改进和完善的空间。 另外,专家认为法律中对信息泄露者惩罚机制不够。 前段时间,警方破获CSDN(即中国软件开发联盟)的600多万条用户名和密码泄露案件,“目前为止对网站的处罚只是提出行政警告,太轻了,这种处罚几乎没有威慑力。”北京科技大学经管学院教授梅绍祖说。 2009年,《侵权责任法》的通过,使“人、肉、搜、索”侵犯受害人权利的责任认定有了法律的统一规制,如果网站无视受害人提出的屏蔽、删除要求,就要承担连带责任。 但是,社科院法学所研究员周汉华说,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。 |