【转】一个密码面临多少风险

原文：http://blog.sina.com.cn/s/blog_6218b4460100vrou.html

 

一个密码面临多少风险

 

现在，密码已经成为人们网络生活的一部分，邮箱密码、QQ密码、淘宝密码、银行密码……这么多密码，用的好了当然一切都好，只要其中一个出问题，那就可能带来巨大的麻烦。那么，你知道密码常见的风险是哪些，用哪些措施可以提高密码的安全性吗？

 

数字账号风险，从QQ密码说起

 

首先我们要知道的是，我们常用的密码，通常是成对出现，即由“帐号”和“密码”两部分组成。比如QQ号和QQ密码、银行卡号和密码、邮箱帐号和密码……等等等等。单纯知道某个账户的密码，其实毫无意义，因为当你不知道账户是多少的时候，是无法利用这个密码做任何事情的，就像给人一把钥匙，但不告诉别人这把钥匙能开哪把锁，那这钥匙也就是一块废铁。

 

所以，现在大型互联网站通常会采用一个安全措施：当用户输入的账户名错误之后，系统会提示“账户或密码输入错误”，为什么不直接告诉用户“你输入的账户名错误”呢，这就是为了降低黑客通过猜测将账户和密码对应起来的概率。

 

普通网民最早认识到密码问题，最早应该是从QQ密码被盗开始的。大约在2000年前后，QQ密码被盗成风，很多所谓的“黑客”以窃取六位号为荣，经常在网上看到有到处炫耀自己的所谓情侣号、豪华号的人，由此开始，利用QQ传播病毒等也成为严重的安全问题。

 

其实，从密码安全的角度来讲，QQ号的设计是有一定问题的（当然这个问题的形成有它的历史原因），我们在上面说到，密码由两个部分组成：帐号和密码，因为QQ号是数字依次排列，等于黑客已经默认知道，凡是5位、6位、7位的QQ号一定都是有人用的，这样黑客只需要猜解密码即可，破解难度降低，风险增加。

 

所以世界上所有著名的互联网厂商，微软、google、facebook几乎都是以邮箱帐号为登录名，这样相对比较安全。腾讯应该也认识到了这个问题，所以后来对QQ的安全体系进行了大幅修改，逐渐引导用户将“邮箱帐号”与QQ号绑定，使用邮箱登录，这样就可以解决“数字帐号风险高”的问题。

 

密码面临的四种安全风险

 

QQ密码只是其中的一个例子，只不过由于他的用户群广泛，出现的问题更广为人知而已。事实上，所有需要密码的客户端软件和网站，都可能遇到密码窃取。一个最简单密码，从用户输入、到键盘、到浏览器、到网站存储，每个环节都可能成为密码保护的薄弱点，下面，我们将对其进行详细的分析：

 

第一，PC端窃取。根据相关数据统计，密码被盗最大份额、最危险的环节，是在本地机器上（PC）的木马窃取。黑客主要采取的手段有“记录键盘法”、“屏幕截图法”、“伪造客户端法”等。

 

所谓记录键盘法，就是利用病毒记录用户输入的键盘信息。病毒在监测到要盗取的软件客户端启动后，记录下用户输入的信息，将这些信息用邮件发动到特定邮箱。在早期的QQ盗号案例中，Keylogger（键盘记录器）、trojan（木马）占据了相当大的比例，当初在QQ用户中流传了很多所谓的“防盗号秘籍”，包括了什么颠倒输入法、汉字密码法、少数民族文字密码法等等千奇百怪的方式。

 

确实，早期的键盘记录器功能比较简陋，那时候使用这种奇怪的密码方式可能有用，但随着盗号木马功能的增强，有的木马甚至会定时截屏+键盘记录，这样只要是输入密码，就很少能逃过病毒的魔爪了。

 

屏幕截图法是另一种窃取密码的方式（只不过不太常用），早期的一些客户端软件，用户输入的密码未经严格加密，使用简单的方式即可将密码框中的星星破解成明文密码。病毒将当前桌面截图，即可获取到用户输入的密码。

 

因为上述两种方式很容易被杀毒软件拦截，后来病毒中出现了“伪造客户端”法。典型的病毒当监测到电脑中运行QQ、MSN这样的软件时，马上将其强行关闭（这时候用户会看到QQ异常退出等），然后病毒自己会跳出一个仿真度极高的伪造软件窗口，诱惑用户登录，用户在其中输入密码后即被窃取。这种利用了用户心理的窃取方式，成功率非常高。 

第二，网关及局域网窃取。在早期的客户端软件中，聊天记录是不进行加密的（直到现在，MSN聊天记录也不加密），因此，黑客通过局域网抓包软件，即可抓取到局域网内包含密码的封包信息。因此，在企业局域网、小区局域网中使用密码的时候，网络安全管理成为密码安全的重要组成部分。

 

第三，服务器端窃取。服务器端窃取密码，也有多种可行的处理方式。

 

（1）扫描软件服务商的服务器漏洞，直接将其密码库窃取。这个难度较高，但因为管理密码的机构数量少，而黑客数量相对多……不怕千日做贼，就怕千日防贼。事实上，几乎所有的国内大型互联网服务商均遭到过“拖库”攻击，被黑客把密码库直接窃取。2011年，某大型SNS被拖库，导致其不得不强制要求所有的用户重置密码。

 

（2）暴力破解。这种方式通常属于“黑客已经知道帐号，想猜出密码”的情况。黑客可以先在SNS了解某个用户常用哪个邮箱，然后通过暴力穷举法来猜解出其密码。通常情况下，用户都会倾向使用自己熟悉的词语、拼音、数字当作密码，所谓的“我的生日就是密码”、“我的手机号码就是密码”就属于这一类。这些密码被制作成一个密码字典，黑客利用其来一个个进行尝试，最终获取到正确密码。

 

（3）利用密码找回漏洞进行破解。为了方便忘记密码的用户找回密码，每个互联网服务商都有自己密码找回服务，有的是让用户回答“你的宠物叫什么名字”，回答对了就可以找回密码，有的是把密码发送到事先设定的邮箱中。每种找回方式都有自己的漏洞，例如，知道用户宠物名字的人，有时候可能有好几十个；而事先设定的邮箱，有时候会因为种种原因被黑客控制。前不久发生的80SEC被黑事件，就是因为其成员使用了某邮箱设定密码，但是因为有段时间未曾登录，导致其邮箱帐号被服务器收回。黑客光明正大的自行注册了那个邮箱，又利用邮箱找回了服务器密码。

 

第四，网络钓鱼型窃取

 

与病毒窃取、拖库攻击相比，近年来，通过网络钓鱼进行密码窃取的方式逐渐受到黑客青睐，这种方式不需要太高的技术能力，只要有“创意”就能从用户那里骗取密码。

 

黑客通常会伪造相关网页。目前热门的伪造对象包括：网游网站、QQ、银行、微博等。黑客只需要做个看起来像真的网页，然后想办法诱骗去登录即可。今年初某银行遇到的大规模钓鱼攻击，就是黑客伪造了该银行网站，再通过群发手机短信，骗取用户的帐号密码，进而窃取银行资金。

 

加强密码安全的五个措施

 

分析了黑客窃取密码的种种方法，相对应的，我们也就知道了如何预防和阻止黑客对密码的窃取：

 

第一，进行密码分级管理，重要密码和非重要密码一定要严格分开。比如银行密码、支付宝密码，属于最重要等级的密码，应该单个密码分别设置，不要使用不安全的邮箱设置成其密码找回依据。在注册一些新网站、小网站的时候，应使用单独的密码。不应该与其它密码混用，尤其应该避免银行密码与其它密码相同，否则黑客可以通过攻击小网站获取密码后，猜解重要网站密码。

 

第二，作为密码管理的基础，选用一个安全的邮箱至关重要，推荐用国外的Gmail邮箱。用于密码找回的邮箱，不应该使用平时常用的通讯邮箱。因为平时接收邮件时，很容易被附件中的恶意文件感染，造成密码失窃。

 

第三，在本地电脑上，应安装基本的安全防护软件，使用正版系统，随时打好系统补丁，把浏览器升级到最新的版本，这样可以避免一大部分利用漏洞入侵用户电脑的病毒和木马。

 

第四，在使用重要的帐号密码时，如果有条件，应在不常用的电脑或系统上使用。在经常浏览网页的电脑上，病毒感染的几率相对大。这种情况下，可以在电脑上安装两个系统，平时使用一个系统，用网银之类重要密码时，使用另一个系统，这样可以最大程度降低病毒感染窃密的几率。

 

第五，不要相信任何通过邮件或短信传递的银行卡密码重置信息，如果有疑问，应通过公开电话如95555（银行卡上印的那个）去询问银行客服。