当大受欢迎的闲聊网站Gawker最近遭到黑客攻击后,一百多万个用户名和密码被泄露出去。如果你正好是其中一个受害者,这件事确实很恼人--非常恼人。不过重要的倒不是有人可能会冒充你登录到闲聊网站,而是那些受害者中有许多人使用那些同样的用户名和密码来访问更重要的其他网站,比如LinkedIn。而这才是问题所在。
对此,你应该怎么办呢?嗯,我原本会告诉你这些:你需要为不同的网站使用不同的密码;需要选择除123456这个大家一贯喜欢使用的密码之外的其他密码;还应该每个月更改每个网站的密码。不过,现在我不会这么告诉你了。说真的,这些都是中肯的建议,但基本上又毫无用处。
人们从来不采用良好的安全做法,将来也永远不会采用。我在网络和安全行业工作了30多年,准备放弃试图让普通大众做正确的事来确保自身安全的念头。不过对于一家公司而言,情况又不一样。教育大家做好安全工作是很麻烦,但是如果你坚持不懈、认真执行规定,最终会促使大多数人在大多数时候做正确的事。但是那些在家里的人呢?这一幕根本不会出现。
除此之外,这里还有另外一个问题。在工作单位,人们需要记住最多两三个用户名和密码。如果你做好了单次登录方面的工作,那么他们只要记住一个用户名和密码。不过在公共互联网上,人们需要记住好多帐户的用户名和密码:银行、Facebook、Twitter、学校、Gmail、手机、水电费、退休基金、LinkedIn、《Computerworld》以及其他无数个帐户。
谁能做到把十多个网站的不同用户名和密码都能记住?我要告诉你:没有人记得住。
反正我记不住,虽然我有幸记忆力超群,能够记住由随机字母和数字组成的字符串--你其实不想让我好好看一眼你的信用卡号码。既然像我这样的人也记不住那么多的用户名和密码,并不具有超群记忆力的人想必也记不住。
我要做的就是,将一长串用户名和密码记在头脑中。有些用户名和密码我只用于不大重要的网站,如Gawker(不过我在这个网站并没有帐户)。另一些用户名和密码我只用于重要的网站,比如LinkedIn。还有几个用户名和密码我专门用于特别重要的网站,比如银行网站。后几种用户名和密码在我头脑中已与相应网站联系在一起。举例说,我有一个用户名和密码是专门用于访问健康保险网站的,并不用于其他任何网站。
你可以采取类似的手法--这个手法有违安全常理:为你的帐号、用户名和密码列一份清单--不过我不是指实际的清单。在你的电脑上列一份清单,然后用加密程序对它进行加密,比如支持Linux、Mac OS X和Windows操作系统的TrueCrypt;只支持Windows的AxCrypt;或者是另一款只支持Windows的程序:FolderLock。
你其实还应该使用"名副其实的"密码。不能是"123456"或"abcdef";不能是"password"、"你的用户名"、"我的家乡"或"我最喜爱的球队"。这几种密码太容易破解了,它们几乎称不上是密码。
要是这个办法对你来说没有吸引力,那么我另外支一招:LastPass。这个程序既可以在所有重要的桌面操作系统上运行,也可以在主要的智能手机操作系统上运行,比如Android、iOS、Symbian和Windows Phone。它会自动获取你的登录资料,然后在你下一次访问网站时,它会替你输入这些登录资料。所以,尽管放心地使用JK1127MarvelFan4TossSaladed!作为密码。你没必要记住密码,密码管理器LastPass会替你记住它。
在我看来,LastPass的优点完全压倒缺点,尽管我宁愿它没有把所有这些密码都存储在网上的加密表单里面。有了这个程序,自然不用担心有入闯入你所访问的任何一个网站、获取登录每一个系统的某个密码。
不过真正的解决办法还是找到可以代替用户名和密码的其他技术。我不知道那会是什么样的技术;但我知道,由于我们越来越多的上网时间花在了众多不同的网站上,必须拿出一种更好的解决办法,而且这种解决办法真正适合我们人类。用户名和密码根本再也不管用了。
51CTO王文文:文章里面是说了几个办法,但小编认为最靠谱的还是指纹和瞳孔识别技术。不管是PC、手机还是社交网络,都是人在操作。有人就有密码,何需老长的一段字符串或者启动一堆的软件?当然,这都是小编的一家之言,非常欢迎大家提出自己的意见,一起交流,探讨。
文章来源:http://www.cio.com/article/650927/The_Day_of_the_Password_is_Done?taxonomyId=3089
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。