王连海

你知道吗？你有一个保守得不太好的秘密，而这个秘密足以彻底打乱你现在的生活。这个秘密可能只是一串简单的数字——这就是当你登录电脑、网站、电子邮箱或者网上银行时使用的密码。

信息时代，密码令人很受伤

自从信息时代拉开帷幕，我们就想当然地认为精心设计的密码可以保护我们的隐私，保护我们的电子邮箱、银行账号、网上相册的使用安全。然而，近年来密码泄露事件时有发生。如何保护自己的密码不被黑客盗用，已经成为令众多网民苦恼的问题。

第一台使用密码的计算机是美国麻省理工学院在1961年开发的大型分时系统CTSS。为了限制用户使用的时间，CTSS设置了一个登录程序。1962年，一个名叫艾伦·斯科尔的博士生为了获得更多的使用时间，用一个简单的手段骗过了登录系统。他找到了包含所有用户名和密码的文件，然后把它们打印下来，这样就可以利用这些用户名和密码无限制地上机了。

在信息时代初期，密码非常管用，因为那时我们需要保护的数据很少，最多就是电子邮箱。由于侵入私人账户没有太大的意义，真正的黑客都把目标锁定在大公司的信息系统。人们渐渐放松警惕，邮箱地址于是变成了一种通用的登录方式，成为几乎所有账号的用户名。现在，我们大多数人依然习惯通过邮箱地址登录网上各种各样的应用，处理银行业务、发微博、进行网上购物，甚至在网盘里储存自己的私密照片和重要文件。当黑客入侵的情况愈演愈烈后，人们才开始寻求更安全的密码保护方式，安全也成为很多网络公司吸引人们在其网站注册并储存信息的噱头。

然而，对于任何一个系统来说，最安全的并不意味着就是最好的。256位的16进制密码或许可以保证安全，但如果让你每次都输入这么繁琐的密码，你可能宁愿放弃登录。于是，各大网络公司提出了折中的办法，建议人们把密码内容设置得更复杂一些。人们也以为只要密码足够长，里面既包含数字又包含字母，再加上标点符号，就万事大吉了。

事实并非如此。现在一台笔记本电脑的处理能力比10年前的一台高端工作站都强，破解一个长密码轻而易举。而且，黑客的新技术层出不穷，盗取密码犹如探囊取物。更重要的是，黑客可以完全不用密码直接攻击我们的账户。因此，从某种意义上来说，不管密码设计得多长多复杂都是徒劳，近年来屡见不鲜的网站数据泄露事件就是最好的例证。

密码面临重重安全威胁

《孙子兵法》有云：“知己知彼，百战不殆。”要想保证自己账户的安全，就先要了解黑客是怎样想办法获取电脑或者网络系统的密码的。

我们先从最简单的黑客技术说起：猜解密码。这是一个非常简单却又非常有效的手段。在互联网中，有大量的人在使用简单且容易猜到的密码。2011年，金山公司列出了国内外使用最多的弱安全性密码。在这份榜单中，排在前列的是“12345678”“123456”“password”。很多黑客工具都能够自动破解简单密码，而黑客所需要的仅仅是拥有网络连接，再加上一份密码清单，他们便可以通过不断尝试来破解密码了。

黑客另一个常用的手段是利用用户的错误——密码重用，即重复使用相同的密码。用户在注册不同的网站时，为了便于记忆，往往采用相同的用户名和密码。此时，如果其中一个网站的账户信息泄露，则用户注册的其他账户都将受到黑客的威胁。黑客们还会通过欺骗来获取用户的密码，最常用的技术就是网络钓鱼。钓鱼网站上显示的内容与银行等官网上的内容高度相似，使用者在钓鱼网站上输入个人敏感信息，黑客截获这些信息，而这时使用者毫无察觉。更为高级的盗取密码的方式是使用恶意软件：这些软件藏身于用户的电脑中，恶意收集用户信息，并秘密地向其他人发送用户的数据。

近年来，一种新型的黑客攻击方法越来越受到关注，这就是重置用户密码。它利用了整个密码保护系统中最脆弱的环节——人的记忆力。复杂的密码容易被遗忘，于是人们需要一种机制来重置用户密码。为了方便用户，这个重置密码的过程不能过于繁琐，黑客正是利用这个特点来窃取用户密码。常见的密码保护问题有：“我的老婆/老公叫什么？”“我是哪里人？”“我的小学在哪里？”等。如果这些问题的答案可以被搜集到，那么黑客就能够冒充真正的用户，谎称自己忘记密码，从而利用系统的密码保护功能，重新设置密码，侵入用户账户。即便上述方法无法奏效，黑客也可以通过掌握的部分信息，比如身份证号码，向客服人员申诉，从而达到冒充真正用户、盗取密码的目的。

另外，软硬件的漏洞也是黑客攻击利用的重要对象。由于某些型号的无线路由器存在某个无需授权认证的特定功能页面，恶意攻击者访问该页面后，可引导路由器自动下载恶意代码，从而获得路由器的最高权限。借此，入侵者可以通过操控路由器来安装插件、木马病毒或者直接记录用户在网上的一举一动，获取QQ密码、网上银行账号都不在话下。

近年来，社交网络、移动互联网、云计算等新型网络应用的涌现，将人、信息和资源越来越紧密地关联在一起，也为黑客攻击提供了可乘之机。针对一些当下热门的社交网站，黑客在攻入并窃取密码后，一方面可以利用此社交网站继续散布病毒和恶意软件，另一方面可以窃取电脑和移动智能终端中的用户隐私信息。随着智能终端的普及，智能终端已经成为黑客攻击的主要目标。手机病毒层出不穷，用户一旦感染病毒，就会造成信息泄露、流量消耗等恶果。此外，越来越多的人将自己的资料和大量有价值的信息转移到“云端”，这些“云”正在成为黑客攻击的新目标。

小链接

自己动手保护自己的隐私

1.避免密码重用，防止黑客获得你所有账号的权限。

2.避免用英语单词作为密码，防止黑客轻易破解。

3.避免使用变形的常用口令，比如“P455w@rd”（因类似“Password”而便于记忆），其实，流行的密码破解工具可以轻松地破解此类密码。

4.不要使用短的密码——无论是多么特殊的组合（如“h6！r$q”），最好的防御就是使用尽可能长的密码。

我们还应该马上着手做下面的6件事，它们能够让你的账户更难被黑客侵入。

1.启用双重认证，尽可能使用手机接收验证码，让黑客望而却步。

2.向安全问题提供假答案，比如“我的家乡在哪里”，答案完全可以是“我吃过了”。

3.创建一个名称与自己的用户名毫无关联的特殊邮件账户，仅用于执行密码恢复任务。

4.尽可能使用长的、复杂的密码，而且要定期更换，以保证安全。

5.安全使用网络，及时清除上网痕迹，不要把秘密留在网络上，不要给不怀好意的人留下可乘之机。

6.及时安装系统安全补丁，防范黑客利用漏洞入侵系统。

总而言之，在现阶段的网络环境中，已经没有绝对安全的密码，为保护个人隐私，应尽量避免将隐私信息保存在互联网上。

（卡巴斯基摘自《科学画报》2013年第7期，小黑孩图）