随着时间的推移密码变得越来越脆弱
Posted: Tue Jan 21, 2025 6:17 am
似乎每周都会出现有关密码被盗和账户被黑客入侵的新故事。本周,Twitter在发现密码泄露后锁定了 200 万个账户,更具代表性的是,马克·扎克伯格的Twitter 和 Pinterest 账户被黑客入侵。所有这些都加剧了人们对密码不够可靠的安全方法的担忧,其性质使得问题随着时间的推移而越积越多。
密码的一个问题是,它代表了便利性和安全性之间的权衡,而便利性永远会胜出。每次新的黑客事件都会产生一份不安全的密码列表,这证明了人们在设置密码时是多么的懒惰。以Linkedin 上被黑客入侵的密码列表为例:
安德烈斯·瓜达穆兹博士
大多数泄露的密码列表似乎与上述情况相似,这令人沮丧地提醒人们密码管理实践的现状。经过数十年的不懈努力,我们才创建了更安全的凭证,包括登录时的密码检查器,有时还要求不断更改身份证明。
问题很简单,随着我们的生活越来越网络化,我们需要管理的密码数量也随之增加,因此松懈的诱惑也随之增加。记住密码成为一个真正的问题,因此人们最终会为不同的服务想出类似的关键词,调查显示,高达 55% 的人可能对大多数服务使用相同的密码。这对恶意黑客来说是个好消息,随着泄露密码数量的增加,受影响的人很有可能仍在使用泄露的凭证。因此,有人声称问题只会越来越严重,每次泄露都会让更多人处于危险之中。
但问题还不止于此。正如Jeremi Gosney 的这篇精彩文章所解释的那样,每次泄漏都会为密码破解者提供更多数据。问题在于,每次新的泄漏都会帮助破解工具变得更好,他解释道:
“我们破解密码是为了了解密码,从而帮助我们破解更多密码,然后我们可以分析 摩洛哥手机数据 这些密码并利用它们来破解更多密码。我们从少量数据开始,这些数据使我们能够破解少量密码。然后,这些密码让我们了解密码是如何创建的,这使我们能够在未来破解更多密码。”
因此,随着时间的推移,您的凭据即使相对安全,也会变得越来越不安全,这会让我们陷入通用密码的死亡螺旋。
解决方案?
有解决方案,在理想世界中,每个人对每项服务都会有不同的安全密码,但这种期望很难实现,即使那些试图做正确的事情并创建安全身份的人也很容易忘记它们,并且会变得混乱,所以你最终可能会在你的电脑上贴一张写有密码的黄色便条,或者你必须把它们写在某处。
几年前,我的Skype 帐户被黑客入侵,我不得不认真审查我的密码安全措施。我现在使用密码管理器,这是一种软件,它可以将所有密码保存在一个地方,并帮助您生成和记住安全凭证。如果您非常重视在线安全,这是目前最好的解决方案。Gosney 解释道:
“普通人至少有 26 个在线账户;IT 专业人士通常有数百个。使用一个好的密码管理器并让密码管理器为每个账户生成一个新的随机密码绝对至关重要。当你发现某个网站或服务被入侵时,一定要立即更改密码——即使你没有收到服务方发来的电子邮件指示你这样做。”
但即使有密码管理器,你也确实需要识别最重要的账户,并相应地保护它们。最重要的账户,例如你的银行账户和电子邮件账户,应该有尽可能强的保护级别。是的,电子邮件和你的银行账户一样重要,因为获得你电子邮件账户访问权限的人可能会要求更改几乎所有其他账户的密码。如果可能的话,我强烈建议你使用主要电子邮件提供商的双重身份验证,就我而言,这是谷歌。这有时会很麻烦,但安心是值得的。有趣的是,我通过在线游戏开始欣赏双重身份验证。
密码的一个问题是,它代表了便利性和安全性之间的权衡,而便利性永远会胜出。每次新的黑客事件都会产生一份不安全的密码列表,这证明了人们在设置密码时是多么的懒惰。以Linkedin 上被黑客入侵的密码列表为例:
安德烈斯·瓜达穆兹博士
大多数泄露的密码列表似乎与上述情况相似,这令人沮丧地提醒人们密码管理实践的现状。经过数十年的不懈努力,我们才创建了更安全的凭证,包括登录时的密码检查器,有时还要求不断更改身份证明。
问题很简单,随着我们的生活越来越网络化,我们需要管理的密码数量也随之增加,因此松懈的诱惑也随之增加。记住密码成为一个真正的问题,因此人们最终会为不同的服务想出类似的关键词,调查显示,高达 55% 的人可能对大多数服务使用相同的密码。这对恶意黑客来说是个好消息,随着泄露密码数量的增加,受影响的人很有可能仍在使用泄露的凭证。因此,有人声称问题只会越来越严重,每次泄露都会让更多人处于危险之中。
但问题还不止于此。正如Jeremi Gosney 的这篇精彩文章所解释的那样,每次泄漏都会为密码破解者提供更多数据。问题在于,每次新的泄漏都会帮助破解工具变得更好,他解释道:
“我们破解密码是为了了解密码,从而帮助我们破解更多密码,然后我们可以分析 摩洛哥手机数据 这些密码并利用它们来破解更多密码。我们从少量数据开始,这些数据使我们能够破解少量密码。然后,这些密码让我们了解密码是如何创建的,这使我们能够在未来破解更多密码。”
因此,随着时间的推移,您的凭据即使相对安全,也会变得越来越不安全,这会让我们陷入通用密码的死亡螺旋。
解决方案?
有解决方案,在理想世界中,每个人对每项服务都会有不同的安全密码,但这种期望很难实现,即使那些试图做正确的事情并创建安全身份的人也很容易忘记它们,并且会变得混乱,所以你最终可能会在你的电脑上贴一张写有密码的黄色便条,或者你必须把它们写在某处。
几年前,我的Skype 帐户被黑客入侵,我不得不认真审查我的密码安全措施。我现在使用密码管理器,这是一种软件,它可以将所有密码保存在一个地方,并帮助您生成和记住安全凭证。如果您非常重视在线安全,这是目前最好的解决方案。Gosney 解释道:
“普通人至少有 26 个在线账户;IT 专业人士通常有数百个。使用一个好的密码管理器并让密码管理器为每个账户生成一个新的随机密码绝对至关重要。当你发现某个网站或服务被入侵时,一定要立即更改密码——即使你没有收到服务方发来的电子邮件指示你这样做。”
但即使有密码管理器,你也确实需要识别最重要的账户,并相应地保护它们。最重要的账户,例如你的银行账户和电子邮件账户,应该有尽可能强的保护级别。是的,电子邮件和你的银行账户一样重要,因为获得你电子邮件账户访问权限的人可能会要求更改几乎所有其他账户的密码。如果可能的话,我强烈建议你使用主要电子邮件提供商的双重身份验证,就我而言,这是谷歌。这有时会很麻烦,但安心是值得的。有趣的是,我通过在线游戏开始欣赏双重身份验证。