在LinkedIn、Zappos、Dreamhost和其他最近被黑客入侵的著名网站之间,你最近可能一直在考虑自己的在线安全问题。但是,当这些网站中的一个被黑客入侵时,这意味着什么?你如何保护自己?以下是你的密码是如何存储在互联网上的,以及当你使用的网站被破坏时对你意味着什么。
一个站点有很多方法可以存储您的密码,有些方法比其他方法更安全。下面是最流行方法的简要介绍,以及它们对数据安全的意义。
工作原理:网站存储密码的最简单方式是纯文本。这意味着在他们服务器的某个地方,存在一个数据库,其中以可读的形式包含您的用户名和密码(也就是说,如果您的密码是testing123,它将作为testing123存储在数据库中)。当您在站点上输入凭据时,它将根据数据库检查凭据是否匹配。从安全性的角度来说,这是最糟糕的方法,而且大多数著名的网站都不以明文形式存储密码。如果有人入侵这个数据库,每个人的密码都会立即被泄露。
我的强密码重要吗?不可能。不管你的密码有多长或多强,如果它是以明文形式存储的,并且网站遭到黑客攻击,你的密码很容易被任何人访问,不需要任何工作。它仍然是重要的方面隐藏你的密码,比如说,你的朋友,或其他人很容易猜到它,但它不会有任何区别,如果该网站被黑客攻击。
工作原理:为了给你的密码增加比纯文本提供更多的保护,大多数网站在将密码存储到服务器之前都会对密码进行加密。加密,对于那些不知道的人,使用一个特殊的密钥把你的密码变成一个随机的文本字符串。如果一个黑客得到了这个随机的文本字符串,他们将无法登录到你的帐户,除非他们也有密钥,然后他们可以用它来解密。
问题是,密钥通常存储在与密码完全相同的服务器上,因此如果服务器遭到黑客攻击,黑客不必做太多工作来解密所有密码,这意味着这种方法仍然非常不安全。
我的强密码重要吗?不。因为用密钥解密密码数据库很容易,所以你的强密码在这里也不会有什么区别。再次:这是在网站被黑客攻击方面;如果你有一个爱管闲事的朋友或家人翻阅你的东西,一个强大的密码可以帮助他们从猜测它。
工作原理:Hashed与加密类似,它将您的密码转换为一长串字母和数字来隐藏。然而,与加密不同的是,散列是单向的:如果你有散列,你就不能反向运行算法来获得原始密码。这意味着黑客必须获得哈希值,然后尝试多种不同的密码组合,看看哪些密码有效。
然而,这种方法也有缺点。虽然黑客无法将散列解码回原始密码,但他们可以尝试许多不同的密码,直到其中一个密码与他们拥有的散列匹配。计算机可以很快做到这一点,借助于彩虹表(rainbow tables),它本质上是一个数万亿个不同哈希值及其匹配密码的列表,它们只需查找哈希值,看看是否已经被发现。尝试在Google中输入e38ad214943daad64c102faec29de4afe9da3d。您很快就会发现它是“password1”的SHA-1散列。有关彩虹表如何工作的更多信息,请查看本文,方法是编写专家jeffatwood。
我的强密码重要吗?在这种情况下,是的。彩虹表由已经过哈希测试的密码组成,这意味着真正脆弱的密码将很快被破解。然而,他们最大的弱点不是复杂性,而是篇幅。你最好使用一个很长的密码(比如XKCD著名的“正确的马电池钉”)而不是一个短而复杂的密码(比如kj$fsDl)。
工作原理:对散列进行加密意味着在对密码进行哈希加密之前,在密码的开头或结尾添加一个名为“salt”的随机字符串。它对每个密码使用不同的salt,即使salt存储在相同的服务器上,也很难在彩虹表中找到那些salt哈希,因为每个salt哈希都是长的、复杂的和唯一的。LinkedIn以不使用盐类哈希而闻名,这使得他们在最近的黑客攻击后受到了很多审查如果他们使用盐类,他们的用户会更安全。
我的强密码重要吗?当然!然而,不幸的是,我们已经到了这样一个地步:计算机的速度如此之快,以至于许多人甚至能够对咸哈希进行暴力破解。它可能需要很长的时间当然比使用彩虹表更长,但它仍然是可行的。这意味着密码的强度仍然很重要,因为密码越长越复杂,破解暴力攻击所需的时间就越长。
工作原理:目前,大多数安全专家都认为速度较慢的散列是存储密码的最佳选择。像MD5、SHA-1和SHA-256这样的散列函数速度相对较快:如果键入密码,它将相当快地返回结果。在暴力攻击中,时间是最重要的因素。通过使用像bcrypt算法这样的较慢的散列,暴力攻击需要花费更多的时间,因为每个密码都需要更多的时间来计算。
我的强密码重要吗?再次强调,由于强密码更难使用暴力,因此强密码在这里绝对可以帮助您。如果你的密码很强,可能需要很长很长的时间才能发现一个缓慢的散列。
那么这一切对你意味着什么呢?以下是您应该从这些信息中获得的信息:
标题图片从帕尔苏尔混音。
... Safari充满了各种功能,可以让您的数据保持隐私,让您的web体验非常安全。我们在这里告诉你所有这些,所以你可以确保你使用它们聪明。 ...
...解决方案之前,用户名/密码组合就是阻止恶意用户进入您的电子邮件、银行和Facebook帐户的唯一方法。因此,您需要安全的密码来保护您的信息,最好的方法是使用密码管理器。 ...
...你应该怎么记住它?这些应用程序将使用新的强密码升级您的安全性,您可以跨帐户快速更新。 ...
...全也不至于抱歉。是时候使用密码管理器了。这不仅会使您的在线帐户更安全,而且还将使它们更易于管理。问题是,你应该使用哪种类型,哪种类型最安全? ...
...入侵了。黑客可以进入一个记录了密码的账户列表。假设您的密码是“Pa$$w0rd”(我们真的希望不是这样)。网络罪犯可以扫描列表,找到你的电子邮件地址,并很容易阅读你的“安全”登录名是“Pa$$w0rd”。 ...
...;如果您运行的是旧版本的防病毒软件,那么这些问题在您的设备上还没有修复。您可以将大多数安全套件设置为自动更新。同样,您可以设置它们定期扫描您的计算机,而无需执行任何其他操作。 ...
...密码管理器直接在Android设备上的应用程序和服务中填写您的登录详细信息。它极大地提高了使用密码管理器的体验,因为整个过程只需几次轻敲即可完成。您不再需要在应用程序之间来回查看,然后输入它们的登录详细信息。 ...
...录名和密码。如果您与他人共享计算机,此密码可以保护您的web帐户。下面是如何设置它。 何时需要使用主密码? Mozilla建议在Firefox中使用主密码,以防您与他人共享计算机,可能包括共享单个用户帐户。这样,随便使用你的...
...ter”。您可以使用此指示器来确定应用程序是否需要访问您的麦克风或摄像头。然后,您可以执行隐私检查并吊销任何您不满意的权限。 相关报道:iPhone或iPad上的橙色和绿色圆点是什么? 只分享你的大概位置 在iOS 14中,您可...