想个好密码不容易
Web 2.0时代需要用户主动参与,大大小小的站点都需要你注册登入(连期末课程设计也视此为最低指标)。密码原则上是一个烂在肚子里的字串,只有自己知道且容易回忆。容易回忆就意味着这一串字符对自己来说具有某种意义,但真要找到一串字符既有意义又不广为人知还的确不太容易。于是很多人选择迁就“容易记忆”,比如下列几类常用的密码:
- 类似111111、123456等潜意识型的密码;
- 和帐号一样或者稍做修改;
- 用自己(或家人)的名字、生日、身高、手机号码等;
- 用Ilovexxx,xxx520等,臭屁点的人还会用woshitiancai之类的密码。
- ...
还有很多类似的密码,有兴趣的话可以下载一些“黑客字典”来参考。总结起来,大多数密码都是在自身或周边取材,或经过简单的变化。因此,破解密码的过程其实也就是了解对方的过程,如果我对你非常熟悉,了解你就像了解我自己一样,你的生活习惯、喜好厌恶我都清楚,甚至你在想什么我都知道。那猜你的密码不就等于想像一下自己会设什么密码(黑客们觉得这样很有趣,反感暴力破解)。而在这个开放的时代,通过人肉搜索收集个人信息可谓轻而易举。
所以,提高密码的复杂度可能并不是简单的组合数学问题,尤其是那些心里藏不住秘密的人。
驻扎的网站是否够安全
即使找到了一个安全的密码,也不过是万里长征的第一步。你驻扎站点的安全性又如何呢?每个时期都有其代表性的漏洞,我刚接触计算机时SQL注入漏洞就像今天的XSS一样风靡,即使是《黑客防线》等专业黑客站点也一样难幸免。黑客在取得服务器的绝对权限后,所有用户的密码都成为了明码。
这并不是问题的关键,真正糟糕的地方还是在人本身:人都是有惰性的!你可以检查一下自己的密码:QQ、邮箱、网游……是不是用的都是相同(或相似)的密码?取得其中任何一个,几乎就是一卡通了。
用户尚且如此,很多站长也同样是懒人。有多少中小型站点是按默认配置来运行的,哪天你无聊完全可以拿/data/dvbbs7.mdb这个路径去匹配动网论坛,指不定就下载到后台数据库。
碰到一些霸道的站点,下载个文件还得注册,对于这些一次性光顾的网站,你注册时得多留一个心眼了。
这些站点值不值得信赖
纵使访问的网站铜墙铁壁,这些站点值得信赖吗?我们能放心将自己的数据或信息交托给他们保管吗?Google喊出“不作恶”的口号,不管这是不是商业口号,但这不是一件很可悲的事吗:不作恶原本就是一个人的基本素质,却需要如此大肆宣扬。就和褒奖诚实守信、拾金不昧等传统美德一样让人痛心,这其实就承认了这个世道人心本恶。
姑且不论有人恶意在自己的站点挂木马钓鱼等。像Google这样的公司将“整个互联网保存到自己的计算机里”,通过对这些数据的分析就能了解一个民族现在关注的事件、我们这一代人的喜好等等敏感信息。兵家的说法是“知己知彼,百战不贻”,我们的信息人家了如指掌,是不是会感觉脊骨发凉呢?
身边的人需不需要警惕
上面的技能还都是远程的,还有一些能物理性直接接触。所谓“日防也防,家贼难防”,你是不是了解每个微笑的内涵,是不是清楚电话那头客气的原因,是不是明白偶然邂逅中的必然?黑客们更崇尚用“社会工程学”来获得所需的信息,因为计算机的战争归根到底始终是人与人的战争。以前在瑞中混了三年,远到校网管中心、近到超市保险柜、大到校长办公室、小到心理咨询师,所有密码我都了如指掌,因为他们并不提防我这样一个傻头傻脑的学生。所幸后来是因为XX事情金盆洗手了,不然可能现在也差不多该闯祸了~
这不是结束
生活在这开放的时代,到处充满了惶恐,办事都要小心翼翼,网上冲浪举步维艰,你的密码安全吗?