信息时代,注重信息安全的人都会从各个方面去了解如何保护自己的数据和信息安全。而在信息安全技术的发展过程中,要说什么与信息和数据安全关系最密切,最能反映这部安全史的全部,那当然要属密码与加密了。
相信如今每个人每天都需要用计算机进行办公或者娱乐,其中一定无法避免登陆账号以及输入密码这一环节。
密码,一个语言学中的名词,它在信息安全领域防护领域充当了最为关键的角色和部分;而加密作为一个运用密码的深层行为和动作,成为最贴近数据的 防护之法。要说本质,密码和加密本是一家,但是密码还有它先天的职责——用户的登陆,几乎所有的密码都是为某个特定用户登陆所服务的;而加密则更纯粹,它 只服务于数据,保护着数据。
时代在发展,信息科技也快速紧跟,在个人、企业甚至国家信息安全受到越来越多种类威胁的今天,去了解密码与加密的发展史或许能让我们找更本源、更纯粹的数据安全防护之法。
全民网络时代 密码问题日益凸显
仅仅在十年前,包括Hotmail账户和AIM证券账户在内,用户的密码安全都没有受到很好的保护。最近一段时间以来,几乎每一家大公司的个人数据都爆出了安全危机。《纽约时报》、Facebook、Gmail等等,都曾经遭受到过黑客的攻击。虽然这些公司都采取了各种措施来保护这些大量的敏感数据,包括信用卡、地址、通信方式等等。但是,自从计算机密码发明这50多年来,安全人员和开发人员一直都想彻底解决密码安全问题,并且遏止住这有点一发不可收拾的势头。
密码进化史:为何安全依然距离我们很遥远
随着操作系统变得更加复杂,使用范围更加广泛,关于密码安全的重视程度也变得越来越高。著名黑客Robert Tappan Morris的父亲、前美国国家安全局科学家Cryptographer Robert Morris开发出了一种单项加密函数的UNIX操作系统,被命名为“hashing”。而他的儿子Robert Tappan Morris,后来作为著名的黑客,发明了第一个能通过网络传播臭名昭著的蠕虫病毒。而老Morris编写的“hashing”系统并不会将实际密码储存在计算机系统中,这样信息就不容易被黑客攻击。老Morris的加密策略,似乎已经实现了剑桥大学在60年代提出的发展构想。
现在,就算从我们最喜欢的电视节目网站上,也能够看到我们的个人资料,包括信用卡号码以及所有受密码保护的资料。而大公司的疏忽则一再让悲剧发生。
首先,即使是在现在,仍然并不是所有网站都对密码数据进行加密,一些程序仍然用“明文标示”的方式储存秘密。而这就意味着他们现在的系统与几十年前相比并没有任何进步。如果一旦被某个黑客入侵了网站的服务器,那么成千上万的密码和所有需要保护的个人数据,都在瞬间就会暴露在黑客面前。
黑客们通常根据人类的通性和习惯去猜测密码。根据针对2013年几次大规模的密码泄露事件的调查报告显示,有76%的网络入侵是通过用户账户的 途径。在通常的情况下,一旦黑客获取了某个人的一个账户密码,而这个用户的其它账户密码也非常危险。因为大多数人不同的账户都会使用相同的密码或一些出现 频率非常高的简单密码(一些常用词汇会不可避免的被当成密码)。而这种名为“字典攻击”(Dictionary attacks)的方式可以通过周期性尝试字典中的高频词汇,毫不费力的破解这些简单的密码。
因此,大多数的网站都要求用户使用更复杂的组合,并且在密码之后还要求身份验证。例如,用户最好以大小写字母、数字和特殊符号来组成密码,并且建议用户针对不同的网站使用不同的密码。
但是目前互联网用户平均每天要访问25个涉及密码登录的网站,而分别记住这些至少14位的不同密码对于普通用户来说是一个巨大的脑力负担。
而现实状况则是,目前普通用户的密码不仅不安全,有些甚至一定作用都没有,大多数用户只是随意敷衍的设置密码。一位长期从事国家网络身份安全战 略研究的高级顾问Jeremy Grant在接受Mashable网站采访时表示:“虽然12位至18位的复杂密码具有高度的安全性,但是从可用性的角度上来说,大多数人并没有这个耐 心。相反,他们只有一两个简单的密码,并且到处使用。”
即使是最安全的密码也很容易遭受到大量的策略性攻击,包括暴力破解在内。当黑客或计算机通过恶意程序周期性的手动将所有可能的字母、数字与字符 组合进行组合,同样存在破解密码的可能性。而为了访问私人数据和收集个人资料,黑客们还有可能冒充用户的目标网站来引诱用户填写自己的地址、电话号码和账 号密码的敏感信息。从而更加轻松的获取用户的个人账户信息,这就是所谓的钓鱼网站。即使是最复杂的密码,一旦用户在这些假网站中输入一遍,都可以轻易的欺骗用户骗到密码。
双重或多重认证机制 或成密码安全的终极形态
最近,像谷歌公司的员工都开始启用了双重认证机制,增加了额外的一层密码安全。并且要求验证两个独立的方式,通常情况下是密码和短信验证码的组合。但是,无所不能的黑客们依然可以通过诸如游戏网站等形式事先获取目标的手机号,这对于他们来说并不困难。
但是,双重认证机制依然可能是未来密码安全的关键。目前,密码在网络安全文化中处于根深蒂固的位置,并且想要让整整一代已经熟悉密码的用户完全接受另一个全新的体系并不合理。但是多重身份验证,通过传统的密码叠加通过短信获取验证码或指纹密码,是一种非常具有可行性变化的解决方案。理论上来说,一次普通的登录需要尝试的内容越多,黑客获取所有登录成功所需要的信息的可能性就越小。而在这一点上山丽网安在其产品中采用的双因子(静态口令及动态口令双因子)身份认证技术(一次性认证原则,保证一次一密)就是以上提到的双重认证机制使用的典型代表。
密码安全了 数据安全还需加密来保护
密码的安全如果是数据安全的门把手的话,那加密技术就是这包容门把手和守卫门后本源数据的基础。面对日益多样而复杂的安全威胁,从离数据层相对 较远的网络层、服务器层进行防护已经远远满足不了防护的需求了,个人、企业甚至国家正期待更本源同时更灵活的防护之法,而多模加密技术就是能符合这种需求 的安全技术。
多模加密技术采用对称算法和非对称算法相结合的技术,在确保了数据本源得到高质量加密防护的同时,其多模的特性能让用户自主地选择加密模式,从 而能更灵活地应对更多重安全威胁。而这种灵活且本源的加密防护之法配合双重或多重的密码认证技术,必将在今后更为复杂的国际信息安全形势下,被应用到更多 的领域中去。
如果把密码和加密看做风雨相伴的两个人的话,那么他们一起走过的信息安全之路,无疑就是一部信息与数据安全的奋斗史。面对未来越来越复杂、越来越多样的安全威胁,在用双重密码认证技术保证登陆环节安全的同时,利用本源且灵活的加密软件进行数据本源防护无疑是最好的选择!