酷改的骑行装备怎么样:如何为密码加密？

作者：兰德尔·斯特劳斯

发表日期：2011年6月11日 

译者：iDo98

要想拥有一个相当难以破解的强密码，请考虑使用含有10个字符的密码。如果你这样做的话，那么你应该能够在晚上安枕无忧地睡好觉——这或许可持续19.24年。 

而这也正是黑客尝试10个字符的各种排列组合所需花费的时间——假设密码是加密的，而黑客拥有足够的电脑计算能力来发动每秒1000亿次猜测的破解密码攻势。 

但如果你的用户名和密码以没有加密的形式存储在服务器上的话，那么当你开始考虑到自己未来可能面临的浩劫时，你可能完全无法安然入眠。 

举例来说，黑客集团LulzSec最近表示它已成功侵入索尼公司的网络服务器，并声称从那里获得了100多万名索尼客户的姓名、家庭住址和密码：而这一切都以纯文本形式存储在索尼的服务器上。该黑客组织公布了37,000多名索尼用户的帐户信息。 

索尼影业公司随后发表声明称“我们对这一网络犯罪行为给消费者造成的任何不便深表遗憾和歉意。” 

黑客喜欢把你所有的个人密码——就像你储存在基于云计算的密码管理服务网站LastPass那里的所有密码——都弄到手。LastPass根据其客户的指令，将客户访问每个网站时所设立的相应用户名和密码储存在其服务器上，然后在随后访问相应网站时自动填写一切相关的用户名和密码信息。 

LastPass上个月报告说，它已经在其网络流量记录中注意到一些奇怪的行为，而且有可能遭到黑客的网络攻击。 

自去年以来就一直是LastPass客户的我听到这个消息时感到一阵担忧。但独立安全专家强烈认为LastPass的安全模式设计是非常出色的，我紧张的情绪因此而得到了减缓。LastPass并不存储实际密码，而只是以加密形式储存密码。它没有对这些进行解密的密码——只有它的用户拥有解密密码。它甚至没有存储用户的LastPass主密码——即用于获取所有其他密码的LastPass密码：而这个主密码在发送至“云端”而到达LastPass在线储存中心之前也进行了加密处理。 

个人电脑（PC）实用程序发布商吉布森研究公司（Gibson Research Corporation）首席执行官、安全专家史蒂夫·吉布森（Steve Gibson）表示，他使用LastPass，因为其服务遵循他的格言——即数据“应在送入‘云端’之前进行加密，而在从‘云端’读取时进行解密。”

位于弗吉尼亚州维耶纳（Vienna, Va.）的LastPass是一家成立相对较晚的服务公司，它从2008年开始提供密码管理服务。该公司首席行政官乔·西格里斯特（Joe Siegrist）表示，公司从成立以来就构建了能承受各种可以想象的威胁——其中包括“不能信任其自己员工”的可能性——的安全系统。 

LastPass确实可能存在一个安全漏洞，而西格里斯特对此并没有刻意回避：它取决于用户选择一个难以破解的主密码——在任何语言的字典里都无法找到的一串字符。 

如果LastPass或任何以加密形式存储密码的公司遭受数据泄漏，其风险在于盗贼可在方便时采用穷举式攻击，在离线状态下有系统地尝试各种可能的字符排列组合，直到发现匹配的字符串为止。在实物保险箱及号码锁的安全措施之下，盗贼将需要近乎无限的耐心以及近乎无限的预期寿命，才能将各种排列组合的可能性从头到尾尝试一遍。 

然而，电脑的运算速度则截然不同。 

吉布森发布了一个网页，以便让访客了解电脑为破解一个加密密码而尝试所有字母、数字及特殊符号的各种可能的排列组合所需花费的时间。 

请测验一下你自己：在“PrXyc.N54” 和 “D0g!!!!!!!”这两个密码之间，哪个密码更难破解？ 

第一个包含九个字符的密码是个非常出色的密码。吉布森的密码强度测试网页显示，黑客在离线状态下按照每秒1000亿次猜测的速度，需花费2.43个月才能完成对九个字符所有排列组合的检查。但是，第二个密码包含10个字符。而多一个字符使它比第一个密码更加难以破解：按照每秒1000亿次猜测的速度计算的话，它将需要花费19.24年的时间。 （安全研究人员已证实了利用相当便宜的硬件来实现这些速度的可行性。） 

不要担心零在中间的“D0g”与字典里的“Dog”一词明显存在的相似性。这并不重要，“因为攻击者完全不知道你密码的形式。”吉布森在他的网站上如是写道。 

“‘差之毫厘，谬以千里’的这句古话在这里颇为适用，”他说，“攻击者可以确信的唯一事情就是某猜测是否与密码完全相符。” 

吉布森表示，只要密码不是常用密码，而且无法在字典中找到，那么最重要的因素就是密码的长度。 

加拿大渥太华卡尔顿大学（Carleton University）计算机科学教授（Paul C. Van Oorschot）对此持怀疑态度。他声称道：“我相信任何密码系统都将遭到破解。”因此，他表示：“我不使用密码管理器，我把我的密码写在纸上，并略微加以模糊处理。”但是，即便这样仍无法使他能够泰然接受某些事情：由于担心遭到黑客攻击的风险，他没有开设任何网上银行帐户。 

对这种风险的另一种替代反应是使用难以破解的强密码——至少长达10个字符的一串乱码。当然，各网站以加密形式存储你的密码是绝对必要的。永远，永远，永远必要的。 

如果索尼事先构建了更为安全的系统，那么它就不会发现自己沦为在公开场合遭到嘲笑的对象。一个新的网站出现了：HasSonyBeenHackedThisWeek.com。 

兰德尔·斯特劳斯（Randall Stross）是纽约时报驻加州硅谷的一名专栏作家，并在圣荷西州立大学兼任商业学教授。他的电子邮箱是：stross@nytimes.com。