什么样的密码是最安全的?
斗胆让我猜猜:你上网用的所有密码——网上银行、邮箱、网购、twitter和facebook的登陆密码——在你脑子里是乱七八糟。你也非常清楚,访问不同的网站,必须选择一串不一样的、排序复杂的字母、数字和符号做密码,然后把它背下来。(先人的智慧教导我们密码守则第一条:绝对绝对不能把密码写下来。)
可是你不会真这么做,因为你知道自己的脑子没有这种能力。于是你选择用熟悉的单词来注册每一个网站:比如自家狗狗、你家那条街的名字,再加几个临时想到的排列,比如“123”作为结尾。也有可能你真的遵守了那条守则,也因此在登陆银行账号的时候常常被锁起来,或不停回忆各种荒谬的安全问题的答案。(“你小时候最喜欢的运动是什么?”我现在就被问到这一题,可是我小时候最喜欢做的“运动”就是想方设法翘掉体育课。iTunes商店还有一个问题是问客户他们“最不喜欢的车子”是什么。)
最可怕的是,最近几年,你还会被逼着设一个字母混合大小写的密码,可有哪一个正常人能记得起如此多重组合的排列呢?至少那个人肯定不会是你。
如果你觉得自己设的密码太差劲了,我有个理由能让你不那么愧疚:这样的烂密码是普遍存在的。上个月,PIN密码泄露事件的分析报告显示,大概有十分之一的人会选择“1234”做密码;而最近雅虎网安全漏洞事件也让我们发现,有上千名用户设置的密码要么是“password(密码)”“welcome(欢迎)”“123456”要么就是“ninja(忍者)”。
人们总是会设一些烂到不行的密码,甚至拿它去保护一些比自己的存款还重要的东西。军事安全专家们大都知道,在冷战高峰时期,美国核弹的“解锁密码”竟然是00000000。五年前《新闻之夜》亦曾揭露:1997年以前,英国部分核弹的钥匙锁,其本质就是一个自行车的车锁。至于怎么选择让弹头在空中还是地面爆炸,只要用宜家的内六角扳手(Allen key)就可以搞定。而这些根本就不是密码。遇到敌方攻击的时候,快速反击比其他什么都重要。
我们的密码处在危险之中,而这也成了邪恶的黑客和“挂羊头卖狗肉”的安全测试人员一场又一场“军备比赛”。可是你只要跟那些内行人聊聊,就知道先人的智慧其实也是值得商榷的。举个反例:把密码记下来可能才是一个好主意。有些老板会命令员工90天更换一次密码,这可能并不是在提高安全性,反而是给自己惹麻烦。同样的事情也发生在一些银行的密码设置规范上:密码不能超过12个字符,不允许使用空格键,等等。而在所有规定之中隐藏的真相是:密码——作为保护人们在互联网上的私人资料的途径,最后却在根本上被违背了它的本职。
我曾向一个经验丰富的网络安全研究员比尔·切斯维克(Bill Cheswick)指教,问他有没有办法能一劳永逸地解决这一问题。他想了一会儿,提议道:“就把你的电脑烧掉,然后滚海边玩儿去。”尽管你的脑子可能已经乱得不行,但还是有既安全又不会失去理智的方法。只不过这种方法跟以前别人教你的不大一样。
密码破解手法形式多样,然而当中最重要的反而不是靠邪门歪道,而是靠蛮力强行攻击。举一个例子:有一个黑客,他潜入一家公司的服务器,准备偷取一份文件,文件上记有上百万条密令。这份文件(但愿)是被加密的,因此他不可能直接登入这个账号。假设文件里的密令是“hello”(当然没那么简单),在文件中它就会被加密为类似“$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90”的字符。他不可能随随便便就把这行乱码解开,因为他知道文件是被“单向加密”的。而他能做的,仅是将所有上百万种可能性加入同一个加密算法进行测试,直到其中一个密码刚好中奖,得出的结果与那一连串的乱码相符合。只有这样他才知道自己找到了那个密码。(有一种附加的加密技术被称作“salting”,它可以阻挡这种攻击,但现在尚不清楚有多少公司真的使用了这项技术。)
这时,密码长度所能产生的你无法想象的作用。假设有一个黑客的电脑每秒钟能猜测1000种五位纯字母、完全随机、全部小写的密码组合,比如“fpqzy”,那最多需要3小时45分就能破解成功。现在只要把密码设成20位,破解的时间自然就会增加一点:要花650万兆年的时间。
现在就有一个人为预测的问题。毕竟没有人能想出一个字母与数字完全随机的排列组合。相反,人们会遵循一些自然规则,比如用一些已经存在的单词,然后将字母O用数字0代替,或者在姓氏后面跟上一个年份。黑客们也知道这一点,所以他们的破解软件会综合这些规则进行猜测,从而有效减少时间,快速猜中目标。每次,在一百万条密码中都能出现一个新的漏洞,这就像2010年的Gawker事件和今年的雅虎事件【注1】一样,而每次黑客们都能借此有效学到人们设置密码的新知识,也使得他们破解密码更加轻而易举。你可能以为自己够聪明,能想到一个绝佳的方法设置密码,其实黑客们早已熟稔于胸。
所以说,最不可能破解的密码就是一长串完全随机的字母、数字、空格和符号,可真要这么设你就背不下来了。不过,既然长度这么很重要,你会发现一个惊人的事实:一长串无规则的英文单词,且全用小写——比方说“awoken wheels angling ostrich(吵醒的、轮胎、钓鱼、鸵鸟)”就比已经很短小、还遵循银行那些烦人规定的密码(像M@nch3st3r)要安全得多。而且这样的密码还更好记,因为你在记忆中已经建立了一个画面:有一群吵闹的轮胎吵醒了一只在河边钓鱼的鸵鸟,不是吗?正如热门的宅向漫画《XKCD》去年发布的一期漫画就很清楚地指明了这一论点:“经过了20年的努力,我们成功地让每一个人练就一副‘密码设得是人都记不下来、是电脑都猜得出来’的好功夫。”
而且其实事实比这更糟。因为密码太难记了,于是人们发明了“密码追回”,当中,安全问题就简单得连黑客都答得出来。这就是为什么2008年莎拉·佩林【注2】的个人邮箱会被黑客黑掉:入侵者把她的邮政编号和高中校名全给猜对了。账户追回的另一相关缺陷还导致《Wired》杂志【注3】作者马特·霍南(Mat Honan)在今年八月遭到了黑客的恶性袭击。几名黑客成功占用了他的谷歌账号,并以他的名义在Twitter上发表了种族歧视的言论,并远程清空了他手提电脑、手机以及iPad里的所有资料。后来其中一名黑客通过网络留言给霍南,告诉他,这一切之所以会发生,是因为亚马逊网站的客户服务热线很乐意提供了他信用卡账号的后四位,而在苹果的客户服务台,刚好就可以用这四位数重设他的苹果iCloud账户密码。
有一些网站会让你使用密码短语(passphrase),就是刚才说的“钓鱼鸵鸟”那种。可是大多网站都不会这么做。在这样的情况下,很多安全专家都认为,人们应该无视银行的规定把密码写下来。他们的逻辑其实很简单:因为你觉得记在纸上很不靠谱,你就会想个折中的办法,最后你就选择最不安全的密码。(同样的道理,有些人会建议、甚至要求你定期更改密码,可其实你要记的密码越多,就越会被逼着去选择简单一点的密码。)
“我有68个不同的密码,”微软安全专家杰斯珀·约翰逊(Jesper Johansson)几年前在一次会议上说。“要是他们不准我写下来,你猜我会怎么做?我肯定都会把所有账号都设上同样的密码。”密码专家布鲁斯·施内尔(Bruce Schneier)也同样提倡人们把密码写下来。他指出,绝大多数人其实都能够妥善保管几张小纸片的安全。你的配偶或你的室友是否可信,这种安全问题你绝对有能力推测出来。可换做是俄国黑客集团是否会威胁到你的银行账户,你就很难预测。
我把这类见解告诉尼尔·艾肯(Neil Aitken),他是英国支付委员会的发言人(该委员会负责监督跨行转账系统与连接网络及其他事务)。他听了之后倒是显得十分镇定。他解释说,问题的关键在于欺诈法强迫银行客户必须执行一些义务。如果你只顾着保护自己的密码,此时如果有人盗走你账户里的金额,法律就会认定你“犯下严重疏失”,这样你的钱就很难再找回来。“你可以有一个世界上最难破译的密码,可如果你告诉了别人,那你就把这密码给毁了。”借此委员会强烈建议英国客户千万别把密码写下或把密码告诉给其他人。
两方都各持己见。这就是安全问题的麻烦之处:你必须得权衡利弊。越方便意味着越不安全;对远程攻击防得越紧就让狡猾的室友越有机会趁虚而入。你是愿意冒稍微大(虽然这很难量化)的危险在金钱上,还是让自己处于长年的密码攻击之中?这种问题有够复杂,就好像是在问你:“你最不喜欢的车子是什么?”
比尔·切斯维克(Bill Cheswick,朋友都称他为切斯Ches)和很多人一样,坚信我们这个社会正在沦入密码的混沌之中。与其他人不同的是,他觉得自己得为此负一部分责任。1994年,作为ATT的虚拟究部——贝尔实验室(Bell Labs)的成员之一,他参与合作撰写了一本书。书名耐人寻味:“防火墙与网络安全:击退狡猾的黑客”。(他曾提出“代理服务器”这一概念,这也因此成为他在互联网圈子里被称为“半人半神”的原因之一。)这本书为现代网络安全奠定了基础。可是现在,他说道,当我们大家在曼哈顿咖啡馆见面上网的时候,密码就成了“一根倒刺!谁能通晓那么多事情?”这个话题总能让切斯维克活跃起来,虽然他平时就是个滔滔不绝热情洋溢的家伙,可这次他还是会让对桌的人们从自己的笔记本里抬起头看他。“还有那么多规定!你还得混合符号啊,大小写啊,数字啊……”
全球最为严重的黑客入侵事件有哪几起?
世界上自从电脑普及之后,就发生了很多黑客入侵的事件,下面介绍几种危害比较大,范围传播比较广的病毒。
一、“梅利莎病毒”事件
1998年,大卫L史密斯运用Word软件里的宏运算编写了一个电脑病毒,这种病毒是通过微软的Outlook传播的。史密斯把它命名为梅丽莎,一位舞女的名字。一旦收件人打开邮件,病毒就会自动向50位好友复制发送同样的邮件。史密斯把它放在网络上之后,这种病毒开始迅速传播。直到1999年3月,梅利莎登上了全球报纸的头版。据当时统计梅利莎感染了全球15%~20%的商用PC。还迫使Outlook终止了服务,直到病毒被消灭。而史密斯也被判20个月的监禁,同时被处5000美元罚款。这也是第一个引起全球社会关注的电脑病毒。
二、“冲击波病毒”事件
冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发。它会使系统操作异常、不停重启、甚至导致系统崩溃。另外该病毒还有很强的自我防卫能力,它还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。使电脑丧失更新该漏洞补丁的能力。而这一病毒的制造者居然只是个18岁的少年,这个名叫杰弗里·李·帕森的少年最后被判处18个月徒刑。这个病毒的变种至今仍有存活,小心中招哦。
三、“爱虫病毒”事件
爱虫跟梅利莎类似也是通过Outlook电子邮件系统传播,不过邮件主题变为了“I LoveYou”,打开病毒附件后,就会自动传播。该病毒在很短的时间内就袭击了全球无以数计的电脑,并且,它还是个很挑食的病毒,专喜欢那些具有高价值IT资源的电脑系统。“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒。
四、“震荡波病毒”事件
震荡波于2004年4月30日爆发,短短的时间内就给全球造成了数千万美元的损失,也让所有人记住了04年的4月。电脑一旦中招就会莫名其妙地死机或重新启动计算机;而在纯DOS环境下执行病毒文件,则会显示出谴责美国大兵的英文语句。
五、“MyDoom病毒”事件
MyDoom是一种通过电子邮件附件和网络Kazaa传播的病毒。在2004年1月28日爆发,在高峰时期,导致网络加载时间减慢50%以上。它会自动生成病毒文件,修改注册表,通过电子邮件进行传播。芬兰的一家安全软件和服务公司甚至将其称为病毒历史上最厉害的电子邮件蠕虫。据估计,这个病毒的传播占爆发当日全球电子邮件通信量的20%至30%,全球有40万至50万台电脑受到了感染。
六、美国1.3亿张信用卡信息被盗事件
28岁的美国迈阿密人冈萨雷斯从2006年10月开始到2008年1月期间,利用黑客技术突破电脑防火墙,侵入5家大公司的电脑系统,盗取大约1.3亿张信用卡的账户信息。造成了美国迄今起诉的最大身份信息盗窃案,也直接导致支付服务巨头Heartland向Visa、万事达卡、美国运通以及其他信用卡公司支付超过1.1亿美元的相关赔款。2010年3月,冈萨雷斯被判两个并行的20年刑期,这是美国史上对计算机犯罪判罚刑期最长的一次。正因为这次事件冈萨雷斯被称为美国史上最大的黑客。
七、索尼影业遭袭事件
2014年11月24日,黑客组织“和平卫士”公布索尼影业员工电邮,涉及公司高管薪酬和索尼非发行电影拷贝等内容。据估计此次行动与即将上映的电影《采访》有关。虽然索尼影业最终决定取消影片的发行。但在此次袭击事件发生数月后,其影响依然在持续发酵,电脑故障频发,电邮持续被冻结等。因涉及到诸多影视界明星及各界名人,该公司联席董事长被迫引咎辞职。
八、“熊猫烧香病毒”事件
为什么把熊猫烧香病毒放在最后呢,因为对熊猫烧香病毒体会最深,相信在2006年-2007年初玩电脑的人都会记得一个名为“熊猫烧香”的病毒,2007年1月初开始肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其它 计算机程序、系统破坏严重。在短短的两个多月时间,该病毒不断入侵个人电脑,给上百万个人用户、网吧及企业局域网用户带来无法估量的损失。不过,熊猫烧香作者只为炫技,并没有像比特病毒一样为了要钱。2007年9月24日,“熊猫烧香”案一审宣判,主犯李俊被判刑4年。
电信光猫设置的路由器会被黑客入侵吗?那又怎么设置路由器的出场口令?
你好:
一般不会被黑客入侵的,你要有超级管理员密码才能进设置,建议您可以加一个无线路由器这样更方便更稳定。
希望我的回答对您有所帮助,如有疑问,欢迎继续咨询我们。
网站总是被黑客攻击后,修改一些用户名和密码,如何防止?
程序安全的漏洞和脚本后门木马很重要
一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了
网站挂马是每个网站最头痛的问题,解决办法:1.在程序中很容易找到挂马的代码,直接删除,或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉
听朋友说 SineSafe 不错 你可以去看看。
清马+修补漏洞=彻底解决
所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒
清马
1、找挂马的标签,比如有script language="javascript" src="网马地址"/script或iframe width=420 height=330 frameborder=0
scrolling=auto src=网马地址/iframe,或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马,一般是JS挂马。
2、找到了恶意代码后,接下来就是清马,如果是网页被挂马,可以用手动清,也可以用批量清,网页清马比较简单,这里就不详细讲,现在着重讲一下SQL数据库清马,用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”, 解释一下这一句子的意思:把字段名里的内容包含aaa的替换成空,这样子就可以一个表一个表的批量删除网马。
在你的网站程序或数据库没有备份情况下,可以实行以上两步骤进行清马,如果你的网站程序有备份的话,直接覆盖原来的文件即可。
修补漏洞(修补网站漏洞也就是做一下网站安全。)
1、修改网站后台的用户名和密码及后台的默认路径。
2、更改数据库名,如果是ACCESS数据库,那文件的扩展名最好不要用mdb,改成ASP的,文件名也可以多几个特殊符号。
3、接着检查一下网站有没有注入漏洞或跨站漏洞,如果有的话就相当打上防注入或防跨站补丁。
4、检查一下网站的上传文件,常见了有欺骗上传漏洞,就对相应的代码进行过滤。
5、尽可能不要暴露网站的后台地址,以免被社会工程学猜解出管理用户和密码。
6、写入一些防挂马代码,让框架代码等挂马无效。
7、禁用FSO权限也是一种比较绝的方法。
8、修改网站部分文件夹的读写权限。
9、如果你是自己的服务器,那就不仅要对你的网站程序做一下安全了,而且要对你的服务器做一下安全也是很有必要了!
电脑被黑客入侵了administrator也被锁了密码
可以破解的,方法
1.用光盘或者安装系统的U盘进入到PE里面然后清除密码
2.用另外一台电脑下载之前打开电脑就上锁的文件,用TXT打开搜索net user就能找到那条设置密码的命令从而找到密码
3.最简单最傻的方法直接光盘重新装系统
4.把原文件(就是你打开电脑就被上锁的文件)提供给我,我帮你弄132150-8505 20元,并且告诉你原理
5.交钱给那个写敲竹杠木马的小朋友
我的电脑被黑客入侵,他们盗取的是什么帐号与密码?
明白你的意思了! 盗取的是你的操作系统的管理员账号密码!
被黑客入侵!
首先呢!正常的顺序是,先对你的pc进行漏洞扫描,然后再通过你开放的某些端口,采取相应的方式!
最常用的就是139端口!然后通过盗取你的账号密码远程控制你的pc!
20%的商用PC。还迫使Outlook终止了服务,直到病毒被消灭。而史密斯也被判20个月的监禁,同时被处5000美元罚款。这也是第一个引起全球社会关注的电脑病毒。二、“冲击波病毒”事件冲击波病毒是利用在2003
程序中很容易找到挂马的代码,直接删除,或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉听朋友说 SineSafe 不错 你可以去看看。清马+修补漏洞=彻底解
得权衡利弊。越方便意味着越不安全;对远程攻击防得越紧就让狡猾的室友越有机会趁虚而入。你是愿意冒稍微大(虽然这很难量化)的危险在金钱上,还是让自己处于长年的密码攻击之中?这种问题有够复杂,就好像是在问你:“你最不喜欢的车子是什么?” 比尔·切斯维克(Bill Cheswick,朋友都称他为切斯
代码,让框架代码等挂马无效。7、禁用FSO权限也是一种比较绝的方法。8、修改网站部分文件夹的读写权限。9、如果你是自己的服务器,那就不仅要对你的网站程序做一下安全了,而且要对你的服务器做一下安全也是很有必要了!电脑被黑客入侵了administrator也被锁了密码可以破解的,方法1.用光盘或者
好友复制发送同样的邮件。史密斯把它放在网络上之后,这种病毒开始迅速传播。直到1999年3月,梅利莎登上了全球报纸的头版。据当时统计梅利莎感染了全球15%~20%的商