不管設麼密碼都要好好保存,但是有些用戶發現自己的密碼經常丟的情況,難道是密碼設置得太簡單嗎, 其實事情往往沒有那麼簡單,黑客偷走你的密碼易如反掌,不過我們要是他們都是怎麼偷的,知道黑客或者流氓的手段,就好進行針對性的防范,使用電腦的良好習慣是最重要的——
我們當然會想方設法來保護密碼的安全,比如增加密碼長度、使用復雜的語法以及特殊字符等等,這確實有助於增強密碼的安全性,這些方法往往要求你每90天更改一次密碼,但奇怪的是看不到什麼明顯的好處。
壞家伙們通常會用四種基本的方法得到你的密碼:
(A) 直接詢問,所謂的“釣魚”和“社會工程學”的攻擊仍然在進行,並且一直有效
(B) 試著用字庫來匹配提示框,希望碰到好運氣
(C) 獲取加密之後的密碼或哈希碼,反過來進行解密
(D) 使用keylogger等惡意軟件在你在電腦中輸入時獲取密碼
這四種情況不會因為你每隔90天更改了一次密碼就從你身邊走開。如果壞人們無法在幾天內攻破哈希碼(C),他很可能去尋找更容易的攻擊目標。攻擊(B)也是速戰速決型,壞人們通常只使用前幾百個單詞,如果無效的話馬上就會轉向其他更容易的獵物。如果(B)或(C)攻擊成功,或者攻擊者通過更簡單的(A)或(D)獲知密碼,那麼他們平均只需要45天就足以把你的銀行帳戶弄得一干二淨,或者把你的電子郵件地址變成發送垃圾郵件的據點。
在過去25年左右的時間裡,密碼過期的概念沒有什麼變化。信息安全技術人員、審計人員、PCI、ISO27002和COBIT等等的要求都保持不變,但威脅已經改變了不少。通常,密碼脆弱的用戶只會用另一個脆弱的密碼來替代。而強迫一個密碼強度已經很高的用戶更改密碼最終反而會惹惱他而使用簡單的密碼。
那麼90天的密碼更改周期到底有什麼意義呢?有一個實際的好處。那就是如果有人有你的密碼而他們想做的一切只是偷偷的閱讀你的電子郵件,那麼你改變密碼可以阻止他們永遠這樣做下去。定期更改密碼並不能抵御那些想要竊取你的機密的惡意攻擊者,但它確實能讓你擺脫那些偷偷摸摸的潛入者或窺探者。沒錯,這是好的。但是,這點好處是否值得去強迫用戶去不嫌麻煩的每90天更改一次密碼呢,我有些懷疑。
信息安全風險管理的主要工作應該是識別威脅和漏洞,然後選擇對策。但是,如果選擇的對策實際上並不太可能降低所識別的威脅的話,那麼它在安全工作中也是於事無補的。
當然,各方提供的“最佳實踐標准”和審計部門的專員們會迫使我們用它。
