口令与隐私
(2011年7月)文/江海客
就在笔者开始撰稿之时,英国女王正在二战盟军密码破译中心所在地向英国儿童宣布一项密码破解挑战赛。这是自美国总统奥巴马在电视讲话中提醒公众注意密码安全后,第二位西方国家元首就很细节的安全技巧直接与民众进行对话,给充满口令和密码迷局的本月带来了有趣的风景。
本月,微软决定强化hotmail的口令安全管理,逐步禁止用户采用常见密码。很有趣的是,微软并没有采用所谓常见密码黑名单的策略,而是使用了统计策略,即微软认为使用人数高于一定阈值的密码就是不安全的密码。对于hotmail这种大站来说,其密码原则上不应是明文存储,而是使用HASH的,即密码禁忌问题变成了HASH频度统计问题。索尼事件后,高频密码的统计结果被曝光。为了避免这种对具有大用户集的密码的破解,微软做出了一个非常巧妙的调整。
另一个与口令有关的事件是已经震惊全球的新闻集团“门”。根据报道,此次事件中的很多短信使用的口令竟然是通过猜测得到的。因为运营商会给用户设置一个简单的默认口令,而多数用户并不会自己修改这种毫无安全价值的口令,基于可能少数几个默认数字或者已知少量用户信息就可以尝试出大部分用户的口令。根据已经公开的的信息,其手段无所不其极,包括在模拟电话时代通过信号扫描监听的方式戴安娜王妃的手机。现在,尽管GSM和基站监听的成本也已经非常低廉,但通过默认密码来获取短信,确实是更加惠而不费的方法。每每有人为丢失手机而惴惴不安,却没有想到即使手机还在身边,通讯的秘密也早已被窥视者洞悉。
我初涉信息安全时,一直以为默认口令的策略是初期运营商的愚蠢或者安全意识淡薄。但这些年过去了,他们依然没有改变。我们这才明白,这是以降低安全等级为代价来减少自己的支持成本。当用户因不知密码而无法操作某项业务时,客服会告诉你,如果您从未改过口令,可以尝试一下0000、1234或者您有效证件的后4位。我们很难将此完全归结为运营商的问题,毕竟多数用户更在意方便性,这始终是不可改变的事实。但运营商在安全方面的努力远远不够,也同样是事实。此外,这也向在RSA令牌召回后以为可以凭某些新技术和算法特点取代RSA的企业和组织发出了提醒——安全的最大阻力并非来自攻击者,而是来自传统。
本月,哈佛大学的一项研究遭到了批判,因为研究者下载了1700个Facebook用户的资料进行数据分析,经证实这些用户正好是哈佛2009届毕业生。研究人员因此被指控侵犯学生隐私。对僵尸和爬虫云集的中国微博、社交网站和通讯录来说,这种事似乎不算什么,但它却在美国却掀起了波澜。
随着云时代的到来和IT业寡头的形成,用户隐私保障越来越不取决于个人的安全能力和意识,而依赖于远端的云。但公众需要在与商业寡头的斗争中伸张自己的隐私权益,否则就会出现电影America: From Freedom toFascism中那个有趣的场景——在你订一张披萨饼时,突然告诉你,翻开你媳妇订阅的某本杂志第几页有一张优惠卷可以使用。
在信息社会,公民不仅要能够有效地保护自己的生命和财产,也需要有效保护自己的名誉和隐私。中国的信息安全产业能否稳步前进的一个重要支点,正是中国民众是否能建立起对个人隐私的崇尚、尊重和信仰。
分享到:
相关推荐
启明星辰公司关于口令安全的培训文档,介绍了主流的口令安全问题和一系列的破解方法
如今,僵尸网络快速增长,弱口令问题已经成为当前物联网面临的最严重的安全问题。目前,国外最新研究表明去除定期修改口令的要求、放弃口令复杂性要求以及对照常用或已泄露口令列表筛选新口令更有利于提升口令强度。...
安全产品系统、设备默认口令清单,国内防火墙默认密码,华为产品弱口令
常见安全设备默认口令
路由器之口令与连接安全——口令管理策略.pdf
windows 口令安全,使用第三方认证技术强化认证。
口令破译及现状安全分析,本文主要叙述了口令的安全性,介绍了基于Windows NT的口令破译的方法和工具,口令的存放和破译口令的过程以及口令保护的相关内容。关键词:口令;安全性;破译。完整的PDF文件,绝对给力
口令安全研究进展
几乎所有的类Unix操作系统的口令文件的格式都雷同,Linux亦不例外。口令安全是Linux操作系统的传统安全问题之一。本文详细介绍了Linux操作系统的口令安全问题。
3.1 Windows安全 3.2 UNIX安全 3.3 口令安全 ...对于口令安全的内容,在前面的UNIX系统入侵防范中已经做过比较详细的介绍,对于任何计算机系统的口令都应参考“禁用的口令”和“使用好的口令”部分的内容。
口令破解与防御,口令破解与防御,口令破解与防御,口令破解与防御,口令破解与防御,
弱口令检查工具是一款用于发现和检测弱口令的工具,可用于维护网络安全和提高帐号安全性。该工具支持常见的网络服务弱口令检测,包括SSH、FTP、Telnet、RDP等等。这款工具使用简便,扫描速度快,能够有效地帮助用户...
信息安全领域的口令管理规范,对于应对相关文档方面的检查会有帮助,只需要下载后在此基础上稍作修改即可。
口令破解与防御技术口令破解与防御技术口令破解与防御技术口令破解与防御技术口令破解与防御技术口令破解与防御技术口令破解与防御技术口令破解与防御技术口令破解与防御技术口令破解与防御技术口令破解与防御技术...
路由器之口令与连接安全——限制远程管理.pdf
ORACLE管理口令安全性和资源,涉及到ORACLE管理员口令与资源有效使用。
mysql windows安全审计、登录失败、口令策略设置
《XXXX网络与信息安全——账号、口令及权限管理办法》规范账号、口令及权限的使用,降低由于滥用、越权等威胁带来的风险。本办法包括三部分:“账号管理”规范账号角色和账号审计等;“密码、口令管理”规范密码长度...
常见弱口令,弱口令字典