9 月底,一名烏克蘭記者 Alexander Dubinsky 曝光稱烏克蘭武裝部隊自動化控制系統竟然長期使用「admin」和「123456」作為密碼來訪問其伺服器,而烏克蘭軍方對此竟毫不知情。
此事當然也引發了軒然大波,要知道這樣的安全漏洞意味著套出如此簡單密碼的人可以隨意訪問烏克蘭軍隊的機密信息。
不過印象中嚴謹的軍隊尚且都用這麼容易猜到的數字/字母組合作為密碼,那麼我們普通人呢?
去年底安全機構 SplashData 就公布了 2017 年最糟糕密碼的榜單,前 15 名如下:
而像上述這麼簡單的密碼不用想都知道是存在相當大安全隱患的。
比如在 9 月,歐洲電信運營商沃達豐就發現捷克一些用戶帳戶遭到了盜刷。不過這些盜刷的黑客用的手段可以說是相當簡單粗暴了:他們僅僅用「1234」作為密碼對一些手機號碼進行隨機測試,結果就輕鬆訪問了一共 60 名用戶的帳戶。而盜取了這些帳戶之後,黑客便用它們在賭博機構上去下注,最終涉及的金額達到了 60 萬捷克克朗(約合人民幣 18.4 萬元)。
當然,這樣並不高明的作案手法很快便被查了出來,作案的兩名黑客被判入獄三年,但沃達豐在被盜取金額的問題上,卻希望那些使用了「1234」作為密碼的用戶來支付,顯然沃達豐認為用戶使用的這些弱密碼才是盜刷發生的原因。
▲捷克沃達豐的登錄界面,密碼只要求 4-6 位數字
在這不評判孰對孰錯,不過弱密碼本身的確是一個嚴重的漏洞。而為了消滅這樣的弱密碼,據外媒 TechCrunch 的報導,美國加州在近日通過了一項法律,規定在 2020 年之後,禁止新的電子產品再用「admin」、「123456」、「password」作為默認密碼。
雖說這樣的法律或許能夠避免一些可以預見的損失,不過這似乎也不是解決問題的根本之道。此外,在弱密碼問題的背後突顯的另外一個問題是,我們似乎壓根記不住越來越多的密碼了。
點擊播放 GIF 0.6M
在錢包一打開就是好幾張甚至是十幾張卡的今天,大概沒有人再有這個腦力給每一張卡單獨設一個密碼然後再牢牢記住了,給所有的卡設一個簡單又好記的密碼似乎是個更省心的選擇。
而這樣的問題在越來越多的網際網路網站/App 上似乎更加突出。
現在無論在哪,每創建一個 ID,設置密碼往往都有「至少 8 位」、「必須同時包含大小寫和數字」等等要求,雖說這是為了帳戶安全,但要給每個網站/App 都想出一個複雜的數字+字母的排列並牢記於心,幾乎成了一個不可能的任務。
點擊播放 GIF 0.7M
所以,今天很多人的想法及做法便是「一個密碼走天下」。而今年企鵝智酷發布的《中國網民個人隱私狀況調查報告》中也提到:
「少數密碼通用於大多數帳號」的中國網民佔比達到 50.8%。對自己擁有的所有帳號都採取同一套密碼的人佔 14.9%。
至於這樣做的風險也不必多言,一個帳戶被盜,所有共享密碼的帳號都遭殃。
那麼密碼問題的出路在哪呢?
蘋果給出的方案是在註冊時就會給用戶推薦一個複雜無比的強密碼,然後將其保存至 iCloud Keychain 裡,供共享的設備自動填充密碼。
在登錄時,用戶便可以直接使用 Face/Touch ID 輸入這些密碼,用人天生自帶的生物密碼免去了記憶這些複雜字符的過程。
谷歌同樣也是推行密碼的自動填充。
而微軟則更加激進,直接宣布了「密碼時代的終結」。
在上月的 Ignite 會議上,微軟宣布企業用戶能通過帶有微軟Authenticator 應用的智慧型手機用 PIN 碼或者是面部/指紋等生物識別技術來登錄。
密碼未來將何去何從呢?或許它終將被取代,不過目前密碼作為最後一道防線,應該還會與其他的加密手段並存一段時間。
▲其他手段沒用了還是得靠密碼
福利社
你也使用/用過「123456」這類簡單的密碼嗎?你覺得密碼會走向何方?歡迎各位留言評論,極客君精選了一份好禮相送。
今天送福利給留言獲好評最多的 1 位小夥伴
歡迎大家積極參與
本期獎品是
【《用圖表看懂世界經濟》實體書】
上期獲得
【《合適》實體書】
的小夥伴請在 24 小時內
為了避免重複獲獎,讓更多小夥伴獲得福利,本活動同一個微信 ID 兩周內只可中獎一次
活動最終解釋權歸【極客視界】所有
轉載請回復【轉載】