密码重用是如何成为威胁的?
密码重用成为一种安全威胁是因为如果恶意行为者获取了一些可以识别用户身份的信息,他就可以对一个重复使用的密码加以利用。这通常发生在以下情形之一:
在第一种最常见的情况下,恶意行为者搜索用户的其它账号,并试图用同样的密码去登陆。有时,他们寻找一些个人账号,比如facebook,twitter,或者银行的网站。如果他们成功找到这些账号,而用户又使用了重复的密码,他们就能够以用户的身份登陆。有时,恶意者还会尝试识别用户的工作账号,并进行远程登陆,例如通过远程访问电子邮件或考勤卡的账号。
第二种涉及到恶意网站的情况比较少见,但仍然构成了威胁。在这种情况下,网络上的恶意者建立一个网站,并使其极其类似合法网站,要求用户输入电子邮件地址,密码或其它的信息来访问网站。一旦用户这样做了,恶意这就获取了用户的身份信息,进而可以搜索用户的其它账户,并使用相同密码登陆这些帐户。
避免密码重用
避免密码重用往往是具有挑战性的,因为许多需要密码保护的网站和帐户,要求密码具有复杂性,比如,要求用户每过一段时间更新密码。用户则为了方便记忆,只好在多个账户中使用重复的密码。有两种方法既可以避免密码重用,又能确保用户的密码满足密码复杂性的要求:
第一种方法是使用密码管理器来记住每一个密码。密码管理器是可以使用于计算机,智能电话,或在云中的应用程序。它可以安全地跟踪密码,以及密码被使用的地方。大多数密码管理器还可以按用户的需求为每个账户生成复杂的随机密码。只要访问密码管理器本身的密码足够安全,复杂,这种技术是很有效的。但是,如果密码管理器应用程序受到攻击(这是确实可能发生的!),所有被管理的密码都可能被泄露。如果用户选择使用一个常驻在本地计算机或智能手机上的密码管理器,一旦计算机被恶意软件攻击,或用户丢失了智能手机,所有由密码管理器管理的密码都可能被暴露。所以,选择密码管理器时,要确保它来自一个知名的,值得信赖的公司,以避免受到损害。
第二种方法是为密码选择一个可重复的模式。比如,选择一个关于网站或帐户一些特性的句子,然后使用每个单词的第一个字母作为密码。例如,根据句子:“this is my march password for d1net.”,密码就成了“timmp4d.”。一个强大的密码应该是复杂的,需要包括大写和小写字母,数字和符号。上面例子中的这个密码就保存了句子中的首字母大写,把“for”翻译为数字“4”,并包括了句尾的标点“.”来添加一个符号到密码中。这项技术也有其弱点:如果来自同一个用户的多个密码被暴露,这个可重复的模式则可能被人猜出并被利用。
不论如何选择密码,保持密码的独一无二是极为重要的。有些公司,如facebook,已经在开发相关技术来识别用户的密码重用。这其中包括监控被暴露的用户名,电子邮件和密码清单,并试图用这些清单去匹配现有facebook用户的用户名和电子邮件地址。一旦发现匹配,facebook则会要求用户重置密码,以避免密码重用的危害。(via 企业网d1net,作者:徐凯 )
作者简介:
在美国从事计算机领域的工作已近15年,现在全美最大的医疗保险公司做安全架构工作。