专栏名称: 罗辑思维
每天一段60秒语音,一篇新角度看世界的文章。关注罗胖,让你每天比别人知道的多一些。
分享
今天看啥  ›  专栏  ›  罗辑思维

收藏 | 手机里的密码这样设置才安全

罗辑思维  · 公众号  · 热门自媒体  · 2019-06-26 06:30

起手机密码,你看过各种因为密码被盗,财务损失严重的新闻。想必你肯定有疑问:什么样的密码才能够保证安全呢?这个问题众说纷纭,有人说要区分大小写,有人说字母数字都要有,有人说要包含特殊字符……

「得到」作者卓克,综合现今密码学的研究,得出结论:安全性最强的密码,最大的特点就是“够长”。

以下是具体的解读,欢迎你阅读并且把它分享给你的亲朋好友。


1

我们手机上的密码大都很短,只有4-6位。而我们在电脑上注册用户时,经常看到提示说“请设置密码长度超过8位”,甚至有时候要求包含数字、字母和字符。

把这两种密码对比看,人们自然会担心自己手机密码不安全。因为很短,只有4位或6位,进而也会担心银行卡密码,因为它也很短。

其实,安全性不是这样评估的。具体来说,银行有一套自己的加密系统。

比如,我的网银密码是123456,这串密码在传送给银行做核对的时候,信息并不是以123456这样的原文到达的,而是先经过安装在手机或者电脑里的网银软件,做一次RSA加密。加密后,密码就是标准格式的一长串字符了。银行那边收到密文后,也是通过一些算法对密文做核对,然后判断密码是不是正确。

整个过程,根本就没有原文出现。对于只截获了密文的黑客来说,你的网银支付或者银行卡支付,到底是6位密码还是12位密码其实没有关系,它们没有安全性的强弱之分。

可是有人会问:那为什么规定这些密码一定是6位呢?其实这更多是出于使用方便的角度考虑的。

有一系列科学研究结论显示,人在无压力的时候,轻松记住一串数字的长度,大约就是5-7位,所以就取这中间值6位,当作密码的长度。

你可能会说,毕竟只有6位,可能性只有100万种,是不是坏人只要暴力破解就能把它攻破呢?

是的。但银行早就想到了这一点,所以又增加了一些物理上的限制。比如说,连续5次密码输入错误,银行卡就会被锁住,只能用主人的身份证去柜台解锁。所以你看,虽然可能性少得可怜,但暴力破解是不可能的。

现在我们用的一切带有支付功能的软件,比如支付宝、微信,它在支付环节也都是做加密的,而且移动端一般用的都是RSA加密,安全性非常高。

即便在不安全的、免费的Wi-Fi环境下,哪怕有黑客获取了我们支付密码的这段信息,他也没办法。因为这段信息,被支付软件自带的RSA加密技术保护了,想破解依然是难上加难。

当然,如果真的用手机支付的时候,最好还是在有密码的Wi-Fi下进行,或者切换到4G/5G的电信网里,支付才更安全。


2

你在手机上输入数字或者图形密码时,理论上是安全的。因为和解锁相关的动作、跟密码有关的数据,全都被RSA加密了。

但如果要确保足够安全,你得保证输入密码时没被任何人看到。而这一点不是每个人都能做到的,毕竟这样的操作太频繁了。

像9个点位的图形解锁,虽然能提供40万种的图案可能性,但有经验的贼离很远就能通过你的动作趋势,判断出你划屏的动作。

甚至在2015年,还有黑客做出了一套划屏动作识别系统。可以在隔2.5米、角度很偏的情况下,5次之内猜对图形解锁的图案。

就算黑客没能掌握这些识别技能,他们只是试一试那些划屏常用的动作,像口字型、Z字型、C字型等,多试一试,也至少有1/3的手机的图形解锁是可以被破解的。

同理,数字按键解锁也一样存在这个问题。要不就是容易被人看到密码,要不就是设置得太简单,容易被人试出来。所以这一切,都属于人们操作中出现的漏洞。

那该怎么解决呢?可以改用指纹、声纹、面部识别来解锁或者支付。

现在的手机中,用来比对生物特征的这部分数据,是单独存储在一个区域的。首先,这个区域不能被轻易读到;其次,存储到里面以后,也是加密的;再次,存储的加密后的这些生物特征,并不是完整的特征数据。

以指纹识别来说,那个特殊存储块里存储的指纹信息,不是全部指纹的样子,而只是全部指纹信息的一部分,比如说10%。那到底是存了这跟手指指纹的哪10%呢?它其实是随机的。

这10%的特征,只用来核对跟当前按过来的指纹是否吻合。所以即便有超级牛的黑客,把这部分生物特征的数据想办法读到了,也解密了,也依然不能还原一个人的指纹。

声纹和面部识别,也都是基于同一种原理。这样,安全性就更高了。


3

但对于手机密码,还有一个矛盾的地方:既然4-6位都安全,为什么网站注册时却让我们设置更长的密码,有的时候还要求有数字、字母,甚至是大小写的组合呢?

因为并不是所有用户名、密码的信息,都像手机支付密码那样用RSA加密。也有不少网站为了节省成本,使用的是简单的加密法。

黑客拿到了这些包含用户名和密码的信息后,会用设计得比较好的字典暴力破解。也就是凭借计算机的算力,尝试每种可能性,碰巧破解了就是运气。这个动作在黑客口中,叫“撞库”。

字典可以说是每个黑客必备的工具,它里面按优先级记录着可能的密码组合。它的编写质量,关乎撞库的成功率,所以高级黑客的字典都自己精心设计过。凡是高频密码,都会首先撞。

网上有一些从黑客历年破解的结果中,统计出了最常被破解的密码——它们最大的特征就是简单的数字组合,或者是键盘上相邻的字母挨着敲出来的。

这些密码,也一定会在暴力破解的前几秒里,最先被破解出来。

△ 历年最容易被破解的密码

可能你会问:数字加大小写的字母,再加一些特殊符号,会不会更安全呢?

答案可能会出乎你意料,那就是——不会。

因为对密码安全起最大作用的,其实是密码的长度。比如说,一个16位长度,只由数字和字母组成的密码,安全性就远比一个只有8位长度,由字母、数字、符号组成的密码更高。

有些人用的符号就是常用的代替法,比如说用@代替a,用5代替s,用!代替i,他们以为用这种方式,就会安全很多。但其实在黑客的字典里,这些常用符号有规律的替换思路,早就是典型案例了,反而会被首先破解。

在网站使用的加密方法比较弱的时候,保存用户ID和密码的文件一旦被截获,这些密文迟早会被破译,就看黑客愿意花多少时间、多少成本来破解了。

举一个实例:在2013年的时候,科技网站Ars Technica邀请了3名黑客,当场破解了已经做了哈希算法(hash)加密的用户数据。这些数据一共包含1.65万组用户名和密码。网站的副主编也会破解,一起参与挑战。

结果副主编破解了其中47%的密码。另外3名黑客里硬件算力最差、字典最小的那个,中间还接受了一次采访,在1个小时里破解了62%用户的密码。当时演示中水准最好的那个,用的工具主要是一块3000块钱的显卡,1小时破解了其中82%的密码。时间如果给得足够充足,第三位黑客在20小时里,能破解其中90%的密码。

从中你就能总结出,有多少人在设置密码时是缺少高级技巧的。


4

那什么是高级技巧呢?我们就需要关注那剩下10%没有被破解的密码是什么样的。这些才是在网站加密强度不高时,最扛破解、最安全的。

结果发现,它们有一个共有特征,那就是——长。这也提醒了我们,最好把密码改成网站允许的最大长度。

在这个例子中,黑客不是攻陷了加密法,而是充分利用了人们设置密码时的松懈。

按说密码应该足够长、足够无规律,但那会让人记不住。所以,绝大部分密码都会和生日、电话、门牌号、姓名、年份挂钩。黑客编制字典去撞库时,也就先用这些规律去试,就会成功一大片。

而且人们的松懈还不止于此,一个人在淘宝用的用户名和密码,很可能也同时用在微博、京东上。一个人常常只有3-4套用户名和密码,简单拼凑一下,就把它们用在十多个App或网站里。因为这样好记嘛。

但一旦其中一个失守,黑客就会把可能的组合在各个网站都试一遍,所以在其他网站的账户也难以幸免。

说到底,这还是我们的操作上的漏洞,给黑客大大减少了破解工作量。但现实情况是,我们每个人都有很多的网站和App要登陆。

虽然最稳妥的方式,是每一个都用独立的用户名和密码,这些密码不但要够长,还都要毫无规则。此外最好每半年全部更新一次,就极为安全了。但这要求太高了,人根本记不住,那还能怎么办?推荐给你两种方法。

第一种,是利用工具。这种工具在网上可以下载,就是一些密码管理类的软件。软件可以保存所有密码,而且软件本身加密等级很高,也能按个人需求自动生成新密码。这样定期统一更换高质量密码的需求,就不难解决了。

不过我想,即便有这种软件,也依然是极少数人愿意使用。因为这就相当于让你培养出一个全新的习惯。

但是,我们还有第二种折中的方案——你可以保持当前的密码和用户名不大变,把它们作为新密码的主体部分,然后加一些前缀和后缀。

比如,你要更新京东的密码,京东在你脑中是个什么印象呢?可能是“快”,那就在你从前的京东用户名和密码前面,加上“快”的拼音。密码长度就增加了,也是京东独有的,而且你还不容易忘。

其他软件也可以这么操作。这样多套完全不同的用户名和密码,就修改出来了。

很多问题在网上都有多种说法,想知道哪个最靠谱,还得需要专业人士帮你把关。卓克老师就是这样一位擅于破解谣言、给你科学结论的专业人士。

他的新书《那些我们脑中挥之不去的问题》刚刚出版,书中就破解了20个常见的生活谣言,并给你科学思维的方法。

精排版电子书,得到App独家首发,原价29.4元,特价13.99元,优惠今日最后一天。

▽ 限时优惠,戳此拿下



今天看啥 -
本文地址:http://www.jintiankansha.me/t/3s3ZnAPXdR