一个地区性的卫生保健公司请求一家网络安全公司Neohapsis来为它的系统进行诊断,以发现系统存在的安全隐患,这个坐落在芝加哥的安全公司开始着手做这个工作。
在从这个卫生保健公司的服务器上找回密码文件后,Neohapsis公司把一个名字叫做"John the Ripper"的著名爆破程序进行了安装。这个精心挑选的密码可以在计算机中工作很多年,它能够运行程序并在一个小时以内把一万个文件中的30%的密码成功破译。
"在我们所接触的所有公司中,即使是大的跨国公司也不例外,都会存在相当一批容易被破译的密码",Neohapsis公司咨询顾问Greg Shipley说,"我们不得不检查那些公司的员工,看他们哪些人没有使用容易被破译的密码。"
世界100强的公司、小型公司和拥有强大安全保证的互联网服务供应商们都有自己的薄弱环节,那就是:在它们的用户中有的人可能会使用那些比较容易被猜破的密码。有些人干脆从网络管理员那里直接选择密码,有些人喜欢使用宠物的名字作为密码,还有的人则把情人的名字当成密码,他们以为在这些密码前面或者后面添加一到两个数字就很聪明了,其实也不尽然。这些简单的方法对于今天的计算机来说都显得太过幼稚,因为当今的计算机每秒钟可以对几百万的密码进行破译尝试,它们通常可以在一分钟之内把一个密码破译出来。
破译密码如同发现金矿
对于网络的入侵者来说,那里就如同有一个金矿一样。糟糕的密码不足以让人们轻易地进入一个公司的网络,但是对于黑客来说可以通过其他的方法进入公司的计算机系统,那里好像是一个无主宝藏。在一台服务器上被破译的密码将会成为进入其他服务器的开放途径,入侵者可以以合法的身份进入计算机系统。
网络的入侵者会尽可能快的获得密码。一些病毒或是补丁可能会向网络的创建者发送回已经被传染的计算机密码文件。本周,一个名叫DoubleTap的补丁正在传染着病毒,是通过微软公司的SQL Server 7.0进行的。2001年上半年曾经有一种Lion病毒在Linux服务器中传播,还有一种叫做SirCam的病毒也能够传送系统密码。
如果一个公司的CEO用"god123"来保护重要文件的话,那么即使是非常好的安全组和高技术数字屏障也无济于事。更糟糕的是,很多公司和组织仍然依靠一个口令--而不是其他的保护方法--来授权他们的用户。在安全问题上,很多专家已经为此工作了很多年。
1979年那时还处于前互联网时代,存储容量还以字节的数量来衡量,一份关于密码安全的文件发现,三分之一的用户密码能够在五分钟以内被破译。
一项调查发现,有八位字符或数字组成的随机密码中平均六十六年才会出现一次。PDP-11/70在一分钟之内能够尝试近5万种排列组合。
然而调查发现,很多用户总是会选择那些糟糕的密码,给那些攻击系统安全的人带来了可乘之机。
在对3300个用户密码的进行调查过程中,调查人员发现,有17%的密码是用三个或三个以下的数字和字符组成的,有15%的密码由四个数字或字符组成。在所有被检查的密码中,几乎有近一半在持续不到六个小时的搜索中被发现。
由八位字符组成的密码应该说是非常保险的,即使对于今天高速运行的计算机来说也是这样。有6.6乘以一千的五次方个不同的八位字符密码使用着95个可打印的ASCII码。尽管有些密码破译程序可以在Pentium 4处理器上在一秒钟内测试近八百万种组合方式,但是要破译一个八位密码仍然需要13年的时间。
实际上,操作系统在过去的几十年中也涉及到提高密码安全性领域。对于黑客来说,只要有人能够阅读到密码文件,就能够把文件进行拷贝,进而进入计算机的操作系统。
现在的操作系统只允许系统的管理员进入并阅读加密口令,这样迫使那些想进入公司计算机系统的黑客只有在获得那些秘密文件前先获得管理员的身份。此外,三次点击登录规则已经得到认可,它可以把那些在初次登录时没有提供正确口令的用户拒绝在外。
数字式多米诺效应
这种保护是以想入侵的黑客不停地尝试字符组合为代价的,对黑客来说以这样的方法攻击一个网络是得不偿失的。一个被黑客侵入的服务器或个人电脑能够产生在这个网络的其他系统上重复使用的密码,从而以一种多米诺效应绕过系统的安全线。
唯一防止入侵的办法就是要建立一个近乎不可能被人破译的密码,但是密码长度需要由随机的方式来自己选择。佛吉尼亚大学计算机科学副教授David Evans说,这对于人类来说是一件有难度的事情,当人们要建立一个密码时,他们不太习惯随机调取。
由于人们生活中在不同的场合都要设定相应的密码,可能会不止几个,如果是随机调取的话,用户很难记住。Evans说,记住很多密码的方法就是要它们有意义。
很多的安全管理员都在努力地教给用户如何使用不同的记忆术来建立既不容易被识破又便于记忆的密码。一种常见的技巧就是把一个你熟悉的谚语或是短语中单词的首字母串成一个密码来记忆。比如:你熟悉这样一个谚语:"Friends don't let friends give tech advice",那么你的密码就可以设成"fD!Fg7a"。
当然,即使是这样隐蔽的方法现在也不是绝对安全的,随着对技术缺乏了解的用户越来越多,密码的安全性问题就越发显得突出了。
适时改换密码
最近安全公司PentaSafe Security Technologies做了一项调查,公司发现大约有80%的公司员工在公司里的其他人问及他们密码的时候会向别人透露。
这个消息还算是好的。这个公司做的另外一项调查显示,接近三分之二的公司员工在接受测试者调查时会把他们的密码告诉给测试者。而他们是为了什么好处才会这样做的呢?只是一支钢笔。
可想而知,公司是多么的担心它们自己的信息中心会被轻易受控于人啊。PentaSafe公司产品战略部副总裁Chris Pick说,密码问题在安全问题中是一个大问题,每个员工至少应该知道自己公司的密码保密制度,而遗憾的是他们却不知道。
事实上,一个潜在的入侵者评估一个密码通常不是根据这个密码所保护的一台计算机而定的。一个从服务器或是个人电脑上获取密码的黑客能够使用那些密码来进入该网络的其他计算机,在此之前他绕过了高技术安全检测。此外,一旦黑客们获得了进入网络的数字密码,对于管理员来说再想把他们拒绝在自己公司的网络之外就很困难了。
有些网络服务供应商已经丢失了四万个密码,而且它们还不通知它们的用户修改密码。在接下来的工作中,这些网络服务供应商根本无法知道那些用户是合法用户、那些是非法用户。这将会像一场噩梦,黑客们可以自由进出网络而不会被拒绝。
最好的解决办法是不要让他们进入。为了对黑客进行封锁,安全公司和研究人员正在越来越多的关注如何强化那些由于密码问题而不牢固的链接。
很多公司都强化了对用户的教育,集中精力在员工中演练公司的密码政策。这些政策决定了什么是有效的密码,有效密码可以使用的最少数量的字符以及密码更换的频率。
研究人员说,这仍然无法使密码变得更好记忆。
绘图密码
加利福尼亚大学的学生Rachna Dhamija 和Adrian Perrig在他们最近的一篇名为Deja Vu. 的讨论绘图密码系统的可能性的论文中写到:"人类在精确回忆方面的局限性与密码对此的高度要求处于直接的冲突之中。"
与其他的许多研究人员一样,Dhamija 和 Perrig正在寻找利用用户视觉回忆的方法,而不是利用他们记忆数字的能力。Deja vu创造出了数字艺术的集合,从这里用户可以进行多种选择;然后系统会教给用户如何记住这些选择。
与其他的研究人员一起,来自微软公司、Lucent Technologies、纽约大学和弗吉尼亚大学的研究人员已经开始对创造绘图密码的技术进行研究。
这种系统也同样存在着问题。由于绘图密码的随意性比用字符组成的密码大得多,用户的培训必须以秘密的方式进行,否则其他人可能会看到组成密码的一连串图象。除此之外,绘图密码便于记忆的优点也使它们便于被别人记住,例如,如果你的合作伙伴不怀好意,那么他只需要在你工作的时候站在你的身后,就可以窥见你的密码了。
数字化安全公司@Stake的研究开发主管Chris Wysopal说:"与键盘输入的密码相比,绘图密码更容易被人从身后窥见,与此同时,这些密码在计算机系统中的存储方式的弱点使它们在攻击面前更加脆弱。"
研究的注意力主要集中在创建新的类型的密码上,而商家则主要在集中精力解决软件产品存在的问题,这种问题使单一的密码能够在整个网络的服务中使用。由于用户只需要记忆一个密码,安全的责任就都落到了网络管理员的身上,他们必须让用户确定一个有力的密码,并且经常对其进行更换。
当然,这种系统本身也存在着缺陷。能够从用户那里得到单一的密码的黑客能够享受用户有权享受的一切服务,获得一切信息。这种缺陷让很多公司深感不安,他们采用了所谓的双重身份鉴定。对于那些感到极度不安的公司,三重身份鉴定也可以进行选择。
弗吉尼亚大学的Evans,说:"如果你想要得到真正高级的安全,可以用自己了解的一些东西来进行身份鉴定,例如密码。有时还会是智能卡或其他的什么东西。"
市场研究部门IDC的分析家Chris Christiansen说,由于指纹浏览器和智能卡读卡机目前还不是计算机上的普遍选择,这些技术还不能马上成为解决问题的方法。
他说,可供选择的密码的范围很广,但是没有人认为现在使用的字符密码会消失。
除非有更好的密码类型可供选择,用户和他们目前所使用的密码将仍然是十分脆弱的。
