(这条文章已经被阅读了 81 次) 时间:2001-06-27 13:14:07 来源:菁菁河边草 (菁菁河边草) 原创-IT
(首发计算机世界网)
最近,英国最大的域名注册公司CentralNic一项有关密码的调查显示:47%的计算机用户使用他们的名字或者呢称做为电脑的登录密码或者文件密码,还有32%的人选择密码的标准是他们喜欢的足球队或者名人的名字。
这项调查表明安全专家们在网络安全方面低估了密码被窃的隐患:用户的密码在互联网上是很容易被破译的。
该公司北美市场经理乔治.亚拉那(Joe Alagna)表示,以“us.com”,“eu.com”为结尾注册的域名,大部分都是以姓名作密码的,这种密码实在是太容易就被猜出来,网络安全简直形同虚设。另一家从事网络安全业务的iDefense公司的高级安全工程师迈克尔.萨顿(Michael Sutton)也表示:他对人们喜欢使用自己的名字做为密码一点也不感到意外。因为还有更坏的情况,人们有时只用一个字母做密码,甚至什么密码都不用。
萨顿的日常工作就是为企业和政府机构评估可能存在的网络危险,他说如果电脑系统仅使用个人信息内容做为密码,如用户的姓名,配偶的姓名,轿车的牌子,这种密码就很容易被同事,工友或者其它所有的熟人猜出来的。他还提出一个解决办法就是密码的嵌套,做二级密码,但是人们又太容易忘记这些密码了,因此他们将密码写在电脑的记事本中,或者发给自己的邮件中,但这样就更容易被别人发现了。因为现在互联网上提供了许多可以下载的密码破解工具,只要密码是由字母和数字构成的,几乎都能破译。萨顿还说,善良的人们并不知道这些密码破译专家是如何工作的,专家们可以在字典里对所有的字母或者单词进行搜索,因此如果你的密码是字典里有的词,那么肯定被破译了。还有些密码破译专家专们对字母和数字进行组合,几乎没有他们破不了的密码。因此萨顿建议人们只能使用数字,符号,字母共同构成的密码,而且绝对不能组成一个有意义的单词。密码的随机性越大越好,当然也得能让人记住才行。萨顿还介绍了一种很知名的密码破解工具软件“LoftCrack”,在48小时它甚至可以将一个公司里所有文件的密码都扫描一遍。他还说有些人嫌文件都加上密码太麻烦了,于是只在登录电脑时使用了密码,这样侵入者只要一旦破译密码,登录成功,那么所有的文件都将面临被窃的危险。因为许多密码破解软件都是针对操作系统的,攻击者完全可能登录到你的机器,当然更多的破解软件是针对电子邮件,WORD文档或者其它需注册的软件的。最后萨顿还指出:“几乎所有流行的软件一经问世,只要此软件需要注册码,那么密码破译者就开始辛勤的工作了,真是魔高一尺,道高一丈。”