口令与隐私

标签: 高端视点 | 发表时间:2011-08-15 11:14 | 作者:baiyuzhong Kindy
出处:http://www.programmer.com.cn

文/肖新光

就在我开始撰稿之时,英国女王正在二战盟军密码破译中心所在地向英国儿童宣布一项密码破解挑战赛。这是自美国总统奥巴马在电视讲话中提醒公众注意密码安全后,第二位西方国家元首就很细节的安全技巧直接与民众进行对话,给充满口令和密码迷局的本月带来了有趣的风景。

微软决定强化Hotmail的口令安全管理,逐步禁止用户采用常见密码。很有趣的是,微软并没有采用所谓常见密码黑名单的策略,而是使用了统计策略,即微软认为使用人数高于一定阈值的密码就是不安全的密码。对于Hotmail这种大站来说,其密码原则上不应是明文存储,而是使用Hash,即密码禁忌问题变成了Hash频度统计问题。

索尼事件后,高频密码的统计结果被曝光。为了避免这种对具有大用户集的密码的破解,微软做出了一个非常巧妙的调整。

另一个与口令有关的事件是已经震惊全球的新闻集团“窃听门”。根据报道,此次事件中的很多短信窃听使用的口令竟然是通过猜测得到的。因为运营商会给用户设置一个简单的默认口令,而多数用户并不会自己修改这种毫无安全价值的口令,基于可能少数几个默认数字或者已知少量用户信息就可以尝试出大部分用户的口令。根据已经公开的的信息,其窃听手段无所不其极,包括在模拟电话时代通过信号扫描监听的方式窃听戴安娜王妃的手机。现在,尽管GSM和基站监听的成本也已经非常低廉,但通过默认密码来获取短信,确实是更加惠而不费的方法。每每有人为丢失手机而惴惴不安,却没有想到即使手机还在身边,通信的秘密也早已被窥视者洞悉。

我初涉信息安全时,一直以为默认口令的策略是初期运营商的愚蠢或者安全意识淡薄。但这些年过去了,他们依然没有改变。我们这才明白,这是以降低安全等级为代价来减少自己的支持成本。当用户因不知密码而无法操作某项业务时,客服会告诉你,如果您从未改过口令,可以尝试一下0000、1234或者您有效证件的后四位。

我们很难将此完全归结为运营商的问题,毕竟多数用户更在意方便性,这始终是不可改变的事实。但运营商在安全方面的努力远远不够,也同样是事实。此外,这也向在RSA令牌召回后以为可以凭某些新技术和算法特点取代RSA的企业和组织发出了提醒——安全的最大阻力并非来自攻击者,而是来自传统。

哈佛大学的一项研究遭到了批判,因为研究者下载了1700个Facebook用户的资料进行数据分析,经证实这些用户正好是哈佛2009届毕业生。研究人员因此被指控侵犯学生隐私。对僵尸和爬虫云集的中国微博、社交网站和通讯录来说,这种事似乎不算什么,但它却在美国却掀起了波澜。

随着云时代的到来和IT业寡头的形成,用户隐私保障越来越不取决于个人的安全能力和意识,而依赖于远端的云。但公众需要在与商业寡头的斗争中伸张自己的隐私权益,否则就会出现电影America: From Freedom to Fascism中那个有趣的场景——在你订一张披萨饼时,客服电话突然告诉你,翻开你媳妇订阅的某本杂志第几页有一张优惠卷可以使用。

在信息社会,公民不仅要能够有效地保护自己的生命和财产,也需要有效地保护自己的名誉和隐私。中国的信息安全产业能否稳步前进的一个重要支点,正是中国民众是否能建立起对个人隐私的崇尚、尊重和信仰。

作者肖新光,网名江海客,安天实验室首席技术架构师,研究方向为反病毒和计算机犯罪取证等。

本文选自《程序员》杂志2011年08期,更多精彩内容敬请关注08期杂志

《程序员》杂志订阅火热进行中


相关 [口令 隐私] 推荐:

口令与隐私

- Kindy - 《程序员》杂志官网
就在我开始撰稿之时,英国女王正在二战盟军密码破译中心所在地向英国儿童宣布一项密码破解挑战赛. 这是自美国总统奥巴马在电视讲话中提醒公众注意密码安全后,第二位西方国家元首就很细节的安全技巧直接与民众进行对话,给充满口令和密码迷局的本月带来了有趣的风景. 微软决定强化Hotmail的口令安全管理,逐步禁止用户采用常见密码.

关于隐私那点事

- - 《商业价值》杂志
个人信息的释放不可阻挡,这是整个互联网经济下一步发展的关键基石. 而如何建立秩序和规则,合理开发个人信息的价值,并且让每个用户都因为“等价交换”而认同这个趋势,则是一个必须迈过去的坎儿. 多年以后,当人们谈论起传说中的2013年315晚会,记住的应不仅仅是那句“大概八点二十发”,“隐私”问题正在成为悬在中国互联网经济头上的达摩克利斯之剑,随时可能酿成巨大的产业灾难.

HttpOnly 隐私嗅探器

- - FEX 百度 Web 前端研发部
终于赶上个想点东西的日子,原本打算继续更新那拖了好久的流量劫持系列的博客和工具. 不过中午闲来无事去乌云逛了圈,发现百度的漏洞又双叒叕上头条了. 而且还是那个 BDUSS 泄露的问题,记不得这已经是第几回了. 尽管这事和咱没啥关系,但本着拯救世界和平的目的,还是打算去研究下:). 既然是 cookie 泄露,无非就两种.

Facebook 和它的隐私政策

- 云飞风起 - 爱范儿 · Beats of Bits
隐私的问题一直贯穿着 Facebook 的整个发展历程,在 Facebook 历史上有两次重大危机是因为隐私的问题而引起的. 在美国时间的星期四,Facebook 将实行新的隐私政策. 在 Facebook 实行隐私政策前,我们回顾一下 Facebook 的隐私政策发展过程和那两次重大的危机. 在 Facebook 还名为 Thefacebook 的时候,“任何不在您联系人列表中的用户,都无法查看您在 Thefacebook 提交的个人信息.

关系经济下的隐私悖论

- - 《商业价值》杂志
很快,我们就将进入一个关系经济的时代. 过去10年来,互联网带来的数字化轨迹,让每个ID都可以成为被精确定义的个体,可以与相关信息精确的关联;. 而社交网络导入的现实人际关系和创造出的新人际关系,则让每个个体被“关联”起来,而信息得以基于关系更高效的流动;. 然后,基于智能终端的移动互联网则更进一步,个体不仅仅可以与其他个体和信息关联起来,还可以马上直接回馈到现实之中,此时信息的流动已经不再是终点.

如何控制您的在线隐私

- - LinuxTOY
只不是关于在线相册,不是关于明文密码,而是关于那些或许比你自身都更了解你自己的搜索引擎和互联网广告商. 以为 清除了浏览器本地历史记录就没人知道你到底浏览些什么网站了. 下面是个简单例子解释为什么:. 假设你访问旅游咨询网站 A 查询关于渡假景点 Z 的信息,网站 A 上包含了来自互联网广告商 G 的广告 Cookies.

你真的在意隐私么?

- 纸条 - 36氪
最近的CIQ上传用户隐私事件闹得沸沸扬扬,人们说智能手机的普及让他们越来越没有隐私可言. 在我们报道360推出专门针对CIQ的检测工具后,甚至有微博用户笑称,相比CIQ,他更不相信360. 国内的360和腾讯是在隐私上被人诟病最多的两家公司,人们说360收集用户信息,说腾讯监控QQ聊天记录,今天看到微博用户的评论,让我想起Seth Godin在去年9月份写得一篇文章 - 你真的在意隐私吗.

大数据下的个人隐私

- - 人月神话的BLOG
前几天听了罗胖《逻辑思维》里面的大数据下的个人隐私,谈下个人看法. 不知道大家是否还有印象在两年前有个微博,通过大数据分析曝光了某个人具体的居住地址和位置,而依赖的仅仅是该人前后发的多种照片分析和个人的一些微博言语. 现在的各种新媒体和社交工具太多,这些工具时刻都在有你这个自媒体不断的发送各种信息,再加上信息直接的相关性分析很容易得出某些结论.

[译]获取Windows口令

- - 互联网 - ITeye博客
原文地址:https://www.securusglobal.com/community/2013/12/20/dumping-windows-credentials/. 参考资料:http://bernardodamele.blogspot.com.au/. 一)从Windows主机上获取口令:.

另类UX让你输入强口令

- Gin - 酷壳 - CoolShell.cn
昨天和大家说了一下关于口令破解的一些东西,那篇文章告诉我们需要设置一个比较强的不易破解的口令. 今天在网上看到一个强大的jQuery插件,叫NakedPassword,其通过“强大的用户体验”让你输入一个比较强且不易被破解的口令. 虽然有点另类,但是我个人相当欣赏这个UX,因为UX实在是太到位了——只有你输入的口令比较强,图片中的女人才会脱光衣服.