如果上傳的密碼過(guò)于簡(jiǎn)單，也很容易被黑客用“暴力攻擊”的形式獲得，最常用的是“詞典式攻擊”。黑客手中會(huì)有一個(gè)海量密碼的詞典，如果用戶使用簡(jiǎn)單的信息，如姓名、生日、電話等，黑客可以設(shè)計(jì)一個(gè)小程序，計(jì)算出來(lái)。因此，很多網(wǎng)站在登錄密碼頁(yè)面會(huì)使用驗(yàn)證碼，防止電腦的詞典式攻擊。

　　服務(wù)器保存

　　明文保存密碼相當(dāng)危險(xiǎn)

　　密碼到達(dá)終點(diǎn)，即網(wǎng)站服務(wù)器，它的保存方式也被黑客盯上。此次密碼泄露，就是因?yàn)楹芏嗑W(wǎng)站以明文形式保存用戶的密碼，而沒有任何加密，當(dāng)黑客攻擊進(jìn)入服務(wù)器后，就可以直接看到裸露的密碼原文。

　　果殼網(wǎng)“死理性派”主編吳蘇介紹，明文保存密碼相當(dāng)危險(xiǎn)，黑客只要獲得了密碼數(shù)據(jù)庫(kù)，再?gòu)?fù)雜的密碼，都可以看到。

　　他介紹，現(xiàn)在網(wǎng)站服務(wù)器已經(jīng)有了很普遍的加密方法，叫做哈希函數(shù)。比如，英文里“狐貍在冰上跑”和“狐貍在冰上走”兩句話，通過(guò)哈希函數(shù)一轉(zhuǎn)化，很快變成了完全讓人摸不著頭腦的組合“52ED879E”和“46042841”。

　　但即使用了哈希函數(shù)加密，也不代表無(wú)懈可擊。

　　密碼分析學(xué)家阮風(fēng)光說(shuō)，如果一串被哈希過(guò)的密碼被盜，只要密碼過(guò)于簡(jiǎn)單，黑客同樣可以獲得。

　　通常，黑客手中，都有一份很長(zhǎng)的列表，稱為“碰撞庫(kù)”，里面儲(chǔ)存的是很多常用密碼對(duì)應(yīng)的哈希值。朱璇介紹，現(xiàn)在網(wǎng)上有專門的網(wǎng)站對(duì)哈希值進(jìn)行破解，根據(jù)密碼難度進(jìn)行收費(fèi)。“比如要破解admin123，屬于最常用的前1萬(wàn)個(gè)密碼，你只要花1毛錢，如果密碼是123456，就可以給你免費(fèi)破。”“萬(wàn)惡之源是密碼過(guò)于簡(jiǎn)單。”朱璇說(shuō)。

　　密碼矛盾

　　安全和便利不可兼得

　　“互聯(lián)網(wǎng)安全問(wèn)題分成管理層面和技術(shù)層面，密碼安全橫跨兩個(gè)層面。”朱璇說(shuō)。

　　對(duì)于網(wǎng)站而言需要考慮的安全因素太多了。比如，開發(fā)代碼中是否存在漏洞，服務(wù)器所處的地理位置是否足夠安全，服務(wù)器是否有密碼，操作系統(tǒng)是否打了補(bǔ)丁，等等，任何一個(gè)環(huán)節(jié)出了漏洞，其他環(huán)節(jié)再安全，也可能被黑客攻進(jìn)。

　　“一切都是需要花錢的，”阮風(fēng)光說(shuō)，“比如你要在服務(wù)器中對(duì)密碼進(jìn)行加密，就可能需要雇用有安全背景的人來(lái)寫軟件。”

　　目前，科學(xué)家和工程師們也在盡量讓身份識(shí)別變得更為容易，如生物指紋、或視網(wǎng)膜鑒別等等方式，但即使這些額外的保護(hù)措施，同樣需要花錢。“人們得意識(shí)到，更高的安全度，就意味著更多的錢。”阮風(fēng)光說(shuō)。

　　他表示，計(jì)算機(jī)科學(xué)技術(shù)發(fā)展到今天，人們也一直沒解決密碼安全性和便利性的矛盾，始終沒有完美的解決方式。原則上，密碼越長(zhǎng)，越安全，可是也越難記住，哪怕記在電腦或者紙上也是不安全的。此外，用戶如果在不同網(wǎng)站使用不同的密碼，也更安全，但是卻很不方便，很難記住這么多的密碼。“要安全，就得舍棄方便，要舍棄麻煩而圖便利，就可能不安全。”本報(bào)記者 金煜

　　■ 密碼防盜指南

　　1 有足夠的安全意識(shí)，避免在社會(huì)層面受到密碼詐騙。

　　2 不同安全等級(jí)的網(wǎng)站設(shè)不同強(qiáng)度的密碼。對(duì)于網(wǎng)銀等和個(gè)人利益直接相關(guān)的網(wǎng)站，一定要設(shè)置超強(qiáng)的密碼。

　　3 測(cè)試網(wǎng)站的密碼安全性，在注冊(cè)一個(gè)網(wǎng)站時(shí)，如果你輸入密碼“123456”也能通過(guò)，這個(gè)網(wǎng)站肯定不安全。同樣，對(duì)密碼長(zhǎng)度沒有要求，不能使用特殊字符，或者無(wú)法區(qū)分大小寫的網(wǎng)站的安全性能也不高。

　　4 減少使用常用的個(gè)人信息，盡量不用自己的生日作為密碼。盡量使用和自己個(gè)人信息不相關(guān)，或者距離遠(yuǎn)的信息。

　　5 利用經(jīng)典密碼學(xué)，設(shè)置自己的加密“函數(shù)”或規(guī)律。比如，你可以選取“不管三七二十一”，抽出其中的數(shù)字“3721”，對(duì)個(gè)別數(shù)字進(jìn)行替換或移位，把“7”變成英文字母中的“L”，把“1”變成英文字母“i”，變成“3L2i”，這樣，密碼就稍微復(fù)雜一點(diǎn)。

　　6 多組合密碼。搭配各類數(shù)字、字母、大小寫、特殊符號(hào)的組合，比如一個(gè)10位長(zhǎng)的隨機(jī)密碼，由于常用鍵一共有95個(gè)，因此一共會(huì)有(95的10次方)種組合，較難在短時(shí)間內(nèi)被“暴力”破解。你可以把“3L2i”加上符號(hào)變成“3#L*2 i#”。 (責(zé)任編輯：鑫報(bào))