Lifehacker密码被黑客入侵

您’我们必须欣赏该标题中的某些讽刺意味。 Lifehacker是Gawker网站组的一部分。一些黑客进入了他们的系统并下载了他们的数据库和源代码。他们还在数据库中运行了一些脚本，并且能够找到将近200,000个人使用的密码’t very strong.

几年前，我在Lifehacker上有一个帐户。因为我没有’考虑到这是一个巨大的安全问题，我使用了一个简单的五个字母，一个单词的密码。由于很容易破解此密码，因此我的用户名，密码和电子邮件地址是网络上以解密形式发布的大约200,000的一部分。

当我在列表中看到我的密码时，我感到有些恐慌。幸运的是我’曾经使用1Password，所以我很快就能搜索所有登录名并确定以前使用该密码的位置。原来不是’在许多其他地方使用–主要是在我需要快速帐户并想要输入密码的情况下’d可能会再次猜测。

因此，我能够快速更改可能面临风险的任何内容。仍然让我有些震惊，并让我仔细研究了我的密码策略。十年前，我使用了3种不同的密码。我在银行和网站上丢失数据的风险很高。对于电子邮件帐户，我的风险是中等的；对于LifeHacker这样的网站，我的风险是三分之二。

但是，真正的风险是’有人会像我一样登录发表评论。真正的风险正是LifeHacker发生的事情–有人进入该网站，发现了一堆用户密码，然后使用这些密码访问互联网上的其他帐户。

在过去的五年中’我们采用了一些不同的方法来创建密码。只要有可能，我都会尝试为需要登录的每个网站创建唯一的随机密码。这样，如果发生像LifeHacker一样的事情，黑客将只能访问他们入侵的网站–他们可能已经拥有一些东西，以便首先获得密码。

密码的存储方式

如果您想了解如何创建安全密码，则值得花一些时间来了解如何在现代Web应用程序中存储密码。

如果我使用了更长的密码’用某种语言说一个字，黑客可能不会’无法获得我的密码。 LifeHacker将他们的密码存储为哈希（基本上是一种单向加密）。登录时，LifeHacker’的服务器获取了您的密码，并通过哈希函数运行了密码，然后将其与以前存储的密码进行了比较。如果值匹配，则可以登录。如果没有，那你就不要’没有正确的密码。如您所见，这意味着LifeHacker没有’不必在服务器上保留每个用户密码的副本。但是，您可以将常见单词的字典映射到其哈希值。黑客就是这样获得我的密码的–他们只是在寻找哈希。

这是一个例子。首先让我们创建一个普通密码的哈希“qwerty”。我们在OS X命令行中使用以下命令来执行此操作：

Desktop  $ echo "qwerty" | md5

a86850deb2742ec3cb41518e26aa2d89

哈希是一长串数字和字母。这是在服务器上存储的内容，而不是您的密码。

如何破解哈希

哈希过程不是’可逆的没有’这是采用a86850deb2742ec3cb41518e26aa2d89的简便方法“decode” it. However, “qwerty”如果是相当普通的密码。如果要使用一本常用单词的词典并在哈希过程中运行它们，他们可以创建一个包含通用密码的所有哈希值的数据库。“qwerty”是常用密码–很常见，有人可能会在互联网上列出它的哈希值。因此，如果我们用Google搜索：

我们将找到许多结果–大多数显示a86850deb2742ec3cb41518e26aa2d89是该词的md5哈希“qwerty”。这是黑客能够破解我的密码的方式–即使他们只有散列值。

安全密码

希望这可以解释为什么使用可在词典中找到的密码是一个坏主意。那么，如何创建可以’这样被打破吗？您需要使用黑客所使用的密码’就能在常用单词列表中找到。另外，密码越长，您越安全。

所以像这样的密码：

大猩猩

不好，但是密码如下：

德克菲&KPiOudkfje(*(3!

很好。虽然那 最后一个密码是安全的，有一个小问题。你能发现吗？对。几乎不可能记住。一个简单的解决方案是使用包含多个单词的密码。这是一些不错的密码：

• 大猩猩吃汤哦，我的天哪！
• mydoghas1跳蚤！
• 鲍勃·坎’t.run.8.miles.

选择模式是另一种好方法。这些密码在您尝试键入之前看起来是随机的。您基本上会记住键盘上的图案。

• a’s;dlfkgjh
• ％TGBnhy6
• zxcvxcvbcvbnvbnmbnm，nm，.m，。/

使用不同的密码

即使您使用 安全密码，你不’不想在每个站点上使用相同的站点。黑客还有其他方法来获取您的密码。有时，黑客会在公共计算机上安装击键记录器，以捕获人们正在使用的密码。如果您有安全密码，但在所有登录名上都使用相同的密码，则可以登录以在图书馆检查您的Facebook消息，然后发现有人在评估您的银行业务。我有超过400个网站的登录名。我可以使用一些技巧来记住每个站点的不同密码，但实际上并没有’扩展到400个登录名。

那就是诸如1Password，LastPass或RoboForm之类的软件派上用场的地方。

1密码

我一直在用 1密码 几年来。 1密码允许您在需要时创建一个随机密码，它可以跟踪您的用户名和每个网站的登录信息。当您返回站点时，1Password为您重新登录。您在1Password上拥有一个密码，该密码使您可以访问所有其他密码。

1密码生成的密码长且随机。如果您想记住密码，或者可以使其完全随机且非常长，则可以编辑设置以尝试使密码更易于发音。

1密码非常好，但是它可以作为带有几个适用于不同浏览器的插件的应用程序使用。这很好用，但是如果您希望能够保护所有密码的安全，则确实需要一个普遍使用的工具。否则，您将需要在不同位置经常访问的内容上使用更简单的密码。通常，这些正是您最想保护的东西。

我对1Password感到沮丧的是’不要在我的Blackberry或Linux计算机上使用它。只要我在Mac上呆着就可以了，但是如果我尝试使用另一台计算机，事情会变得有些棘手。

最后通行证

这周我’我开始看 最后通行证。虽然1Password是带有某些插件的应用程序，但LastPass似乎完全基于插件，并且它们具有很大的跨平台兼容性。接口不’似乎不像1Password那样完美，但这可能是因为他们使它运行在许多不同的平台上。 最后通行证还提供了不同设备之间的同步，因此一切都保持最新状态。任何解密都是在本地计算机上完成的，因此您的密码仅以加密方式存储在云中。

最后通行证的一项有趣功能是其安全审核，它将向您展示密码的总体安全性。您甚至可以让它显示所有共享密码的登录名，以便您轻松识别需要增强安全性的位置。另一个有用的功能是可以与他人共享密码。

最后通行证的基本版本是免费的，它将满足大多数人的所有需求。您可以每月为其他功能（如Blackberry支持）支付1美元。

结论

花点时间想想你的 密码策略。错误将要发生，如果您像我一样以某种方式发现网站密码，则要确保自己处于最安全的位置。