许多网站在登录时,要求输入用户名和密码,实际上这是个误导,不应该称为密码,而应该称为口令,英文是password,直译过来是“通行字”,就是说出这个字就让你通行。 之所以说“有用户名口令保护,就是安全的”是目前网民的一个最大的误解,原因至少有两个:一个是许多互联网服务在门口设置了哨兵,但还开着窗户,口令很容易绕过;另一个是口令是可以被盗取和破解的,最常见的盗取就是被木马盗取。
一、口令被绕过
这种情况尤其在非文本的互联网服务中容易出现,例如网络相册。如果你有照片想与至亲好友分享,又不想让别人看到,建议先搞清楚再使用,否则就有可能泄密。
Google的相册有三个权限属性:公开、不公开、登录才能看。新浪的相册有两个权限属性:公开、口令保护(新浪称为密码保护)。公开的不用说了,谁都能看。
Google的“不公开”仅仅是无法从相册个人首页链接进去,而如果知道了相册的网址,那就可以看了。你会把相册地址给你的朋友。如果被允许看“不公开”照片的人的电脑上安装了百度搜霸之类的搜索引擎辅助软件,不公开的相册就可能通过搜索引擎搜到并被任何人看到。
Google的“登录才能看”比较严谨,上到相册、照片页面,下到照片本身,没有登录都看不到,如果说没有口令还有谁能看到,那就是Google的网管了。但这样的相册无法分享。
新浪的“口令保护”的安全性介于Google的“不公开”和“登录才能看”之间,需要知道照片本身的网址,才能绕过口令保护看到照片。如果被允许看“口令保护”相册的人的机器上安装了某种软件(比如会自动传递页内链接的搜索引擎辅助软件、木马等),则还是有可能被图片搜索引擎搜到,不过这个可能性比Google的“不公开”相册小多了。
因此Google相册要么不够安全,要么无法和朋友分享,不如新浪相册在安全和方便之间取得了一个比较好的折中。
二、口令是可以被盗取和破译的
许多人把免费的或者收费的邮箱作为自己的信息保险箱,实际上这个信息保险箱非常不牢固。许多安全提示要求用户使用复杂的口令,但复杂的口令只能在一定程度上防止强力破译,对于其他几种情况无法防止,例如网络监听、木马盗取、键盘记录、偷看。目前最多的账号被盗都是因为木马,因为木马的开发、拓展、使用都已经形成了一条黑色产业链,开发一个木马已经变得非常容易,木马可能通过网络、邮件、U盘等介质传播。
由于大部分登录口令在互联网中使用明文协议,如http、pop3、smtp等,因此网络上的监听,无论是网管在网络出口网关处的监听,还是通过arp转移的监听,都可以监听到你的口令,比如你随便上一个网吧,无法保证网吧管理员不会监听你的口令数据,也无法保证别人看到你的口令。使用加密协议的互联网服务,比如https,可以防止网络窃听。键盘记录软件可能是木马的一部分,也可能被人注入到一些管理不善的网吧的计算机中。键盘记录软件甚至可以对使用加密协议的服务截取口令。
还有不少网民会主动地把口令送给别人,比如许多SNS网站都诱使用户输入口令以自动把用户的通信录导入SNS,虽然这些网站都声称不会记录和再次使用用户的口令,这看你是否能信。许多网民为了记忆方便,在自己多个互联网服务中使用相同的口令,这样就导致一旦有一个口令泄露,就危及到该网民多个互联网服务的安全。 所以说,用口令来保护自己的信息实际上是非常脆弱的。有些互联网服务可以绕过、木马可以盗取、网管可以盗取,自己不慎也会泄露,如果你在网上保存了私密的信息,比如私密邮件、私密照片、私密日记,风险还是很大的。
有人说,那机密的信息我不放到网上不就没事了吗?这要看怎么理解,私密照片、日记等当然可以不放到网上,但电子邮件呢?电子邮件应该只有你和收件人可以看,不通过网络就不成为电子邮件了,当然,你不把邮件保存在网上已发邮件中,收信人把邮件收下来不保存在网上,相对会安全些,但放在自己计算机上就安全了吗?
艳照门,并不是通过网络泄密的,而是因为电脑送修。所有的数据在硬盘上是明文保存的,因此能接触到这个硬盘的人,很容易盗取其中的信息。 据有关数据显示:在欧洲、中东和非洲(EMEA)地区的八家最繁忙的机场上,每周被盗或丢失的笔记本电脑数量超过了3300台;美国平均每周丢失或者被盗的电脑大约在12000台左右。
(责任编辑:adminadmin2008)
