密码并非想当然的那么安全;Lifehacker支招应对密码安全[译文]

注:本文为发表于Lifehacker的文章“Your Passwords Aren’t As Secure As You Think; Here’s How to Fix That”的完整译文,原作者为The How-To GeekLucifr遵循原文站点Creative Commons License(非商业用途-署名)的分享原则进行了翻译。转载也请遵循此协议,不要删除此段!

如果你允许应用程序保存你的密码,在没有对密码进行加密的情况下——未加密的几率还是很大的,任何一个使用你的个人电脑的人都可以对这些密码进行解码。本文中我们将分析在保存密码时正确与错误的做法。

为达到本文的目的,我们将假设被允许进入你家的人都是值得信任的,不会去破解你的密码,我们只假设你的笔记本被人偷了——但无论是哪一种情况,以下的建议都适用。无论选择何种方式保存你的密码,都应该首先确保密码本身足够强而且安全提问的回答更强

一旦选择了“记住密码”,那什么都完了

几乎所有要求登入的应用程序都会提供“记住密码”的选项,而一旦选择了记住,你的密码可能就被存成了纯文本。在后台,即使这个应用程序对账户信息进行了加密,静态密钥也可以通过一些逆向编译的手段而横遭破译,这种手段不但被一些人所掌握,甚至他们已经搞出了一个可以恢复此类密码的实用程序

即使是设置一个复杂的Windows登录密码也于事无补;能够接触到你的电脑的人可以通过一张Ubuntu的启动盘将你的所有数据原封不动地拷贝到外置硬盘上,等到他们高兴的时候再在别的电脑上破解你的文件(如果你没有对整个硬盘进行加密的话)。如果时间更为充裕,他们还可以用Ophcrack来破解你的密码,再或者,他们可以只用一张系统恢复盘来更改你的Windows密码

一旦能够访问你的文件,破解者只要用免费的工具就能够轻松破译你的密码——只要轻点几下鼠标,Outlook即时通讯软件无线网络Internet ExplorerFirefoxChrome 或是其它一些程序的密码便可轻松破译。需要做的只是去Google搜索更多的破解软件。

Pidgin把密码保存为纯文本

没错,你最爱的支持多种通讯协议的开源即时通讯客户端把你的密码保存为纯文本。如果你不相信,那就用文本编辑器打开 %appdata%.purple\accounts.xml 这个文件,你会发现你的密码正以任何人都能看到的形式横躺在里面。

如果告诉你以纯文本的形式保存密码是在经过深思熟虑后故意为之的,你可能会觉得如此处理安全问题太过于危险了,但是别忘了只需要下载几个如Nirsoft的MessenPass这样的破解软件就能够轻松从AIM、Windows Live Messenger、Trillian、Miranda、Google Talk、Digsby等即时通讯软件恢复密码。Pidgin的开发者就指出他们的做法实际上是最为安全的

把密码保存为纯文本比加密它们更为安全,因为当一个用户不被虚假的安全感所误导的时候,他才会以更为安全方式来使用软件。
当然,最佳答案是压根儿就不要让即时通信客户端保存密码——但如果非要保存密码,即使不用TrueCrypt这样的专业加密工具,至少也应该使用Windows自带的加密功能。
密码管理器是唯一的安全存储密码的方式

唯一真正安全的存储密码的方式是使用密码管理器来保存你的密码,结合一个强有力的主密码(master password)来保护其余的密码——如果密码管理器的密码过于简单,在暴力破解面前就很难自保。不要使用这种简单密码让自己处于虚假的安全感之中——想要真正地确保安全,密码管理器的密码应该至少为10位字母和数字混合的字符。

我们手头上就有若干个不错的密码管理器软件可供选择,比如Lifehacker读者最爱的Keepass,这是一个跨平台的工具软件,拥有很多插件来帮助管理你的密码,并使密码管理器更为易用。此外,我们不要忘记Firefox浏览器本身就内置了一个完整的密码管理器。

使用Firefox的主密码(至少8位字符以上)

如果想让Firefox保存所有网络账户的密码,应该首先确保启用了Firefox的主密码,方法为在菜单栏“工具”->“选项”->“安全”页面中勾选“使用主密码”。

启用了主密码之后,Firefox就会用几乎无法被破译的AES加密方式来存储你的密码——主密码应该为大于8位的字母数字混合字符,且至少有一个字母为大写。如果只是用一个可怜的如“secret”这样的简单密码,用暴力破解工具只需几分钟就能将其攻破,但暴力破解一个8位以上的随机字符密码则要花上至少73年的时间。

每次当你启动Firefox并第一次进入一个已经保存了密码的网站时,会一次性地提示你输入主密码。默认情况下,主密码认证会在整个当前进程下保持激活状态,但通过使用一个主密码过期扩展就能够设定在一段时间之后自动锁定你的主密码,这在你忘了在离开办公桌前按下Win+L来锁定计算机时尤其有效。

使用TrueCrypt来加密所有数据

与其折腾密码管理器或是纠结于该不该保存密码,还有一个简单的选择就是建立一个单独加密的TrueCrypt分区,并使便携版本的应用程序用以保万全。如果更为偏执一些,还可以用TrueCrypt加密整个硬盘,每次启动计算机时都会提示输入密码,换来的是所有的数据都进行过加密的安心感,这种情况下即使你的密码是被保存为纯文本也是安全的。如果不喜欢TrueCrypt,你也可以用Windows自带的加密功能,但是要记住一旦更改了密码,被加密了的数据就无法再打开了,Windows的密码被破解的话,你所有的文件也会被暴露给破解者。


译者按:在网络化的今天,密码安全问题十分重要,但往往是容易被忽视的。我相信即使是遵照本文的方法做了,也没有绝对的安全,但至少我们应该建立起安全意识,不被“虚假的安全感”所迷惑,远离不安全的软件(圆滚滚带尾巴的那两个!说的就是你),建立起一定的措施,不让心怀恶意者轻易得手。

Lucifr

Read more posts by this author.

Beijing, China http://lucifr.com