沒過幾週,我就把所有的網頁都設上獨一無二的複雜密碼,電子郵件賬戶啟用兩步驗證,甚至用不透明膠帶把電腦的網絡攝像頭蓋住——這一預防措施遭到朋友和同事的調侃,他們建議我該去作個心理檢查。
但最近的幾件事說明我做得沒錯。一個朋友說服我撕掉了蓋住網絡攝像頭的膠帶——他說這麼做有點過於謹小慎微了——結果幾天後我發現指示燈變綠了,說明有人進入了我的電腦在偷窺。最近,我收到一條谷歌發來的短信,是我的Gmail帳戶的第二步驗證碼。就是你首次輸入正確的Gmail帳戶密碼後,谷歌發送的作為二次密碼的一串數字。(一定要註冊這個喲。)唯一的問題是,我壓根兒就沒有在登錄我的Gmail帳戶。我根本沒在計算機旁。顯然是別人在試圖登錄我的帳戶。
駭客攻擊你很容易,易如反掌。只要點擊了一個惡意鏈接或者附件,就會遭到攻擊。公司的電腦系統每天都會被駭客攻擊,他們搜尋密碼,拿到類似拍賣網站的黑市網站上出售,一條密碼在那裡可以賣到20美元。駭客經常利用諸如開膛手約翰(John the Ripper)之類的免費密碼破解程序,這種程序運用被破解的網站上常用的密碼列表,每秒可以嘗試數百萬個密碼。
大多數人一生中某個時候都可能會遭到駭客攻擊。他們最好的辦法不過是推遲這不可避免的攻擊,辦法就是不要打開可疑的鏈接,就算是朋友發來的,並且管理好自己的密碼。不幸的是,良好的密碼設置習慣就像是用牙線剔牙——你知道它重要,但需要付出努力。你怎麼可能為每一個新聞網站、社交網站、電子商務網站、銀行網站、企業網站和e-mail帳戶想出各不相同又難於破解的密碼,同時還一個不漏地都記得住呢?
為瞭解決這個問題,我給兩個我認識的最偏執(一點不假)的人打了電話,耶利米·格羅斯曼(Jeremiah Grossman)和保羅·科克(Paul Kocher),看看他們如何保證自己信息的安全。格羅斯曼先生是第一個公開如何輕鬆通過Web瀏覽器控制一台電腦的攝像頭和麥克風的駭客。他現在供職於一家互聯網和網絡安全公司WhiteHat Security,是公司的首席技術官,經常成為網絡犯罪分子的目標。科克先生是著名的密碼學家,以巧妙攻擊安全系統而聞名。他現在經營一家名叫Cryptography Research的安全公司,專營強化系統抵禦駭客的性能。以下是他們的秘訣:
不要借助字典。如果您的密碼可以在字典中查到,那還不如不要密碼。科克先生說:「最糟糕的密碼就是字典中的單詞,或者給字典中能查到的單詞插入一些符號,或做些修改。」駭客們往往會根據字典來測試密碼,或者修正拼法。如果您的密碼不是這一類,駭客通常會走開。
千萬不要重複使用相同的密碼。人們往往會在多個網站使用相同的密碼,駭客們經常會利用這一點。雖然在LinkedIn網站上的職業檔案
被破解大概不會有什麼嚴重的後果,不過駭客會利用這個密碼破解諸如電子郵箱、銀行或經紀帳戶,那裡面可存儲著更有價值的財務信息和個人數據。
設置口令。密碼越長,破解的時間就越長。如果你不想駭客在24小時之內就能破解的話,理想的密碼應該設成14個字符或更長。由於長密碼難於記憶,可以考慮用口令,比如喜歡的電影台詞、歌詞或一首詩,只用句子中每個單詞的第一個或前兩個字母串在一起。
要不就亂敲鍵盤。對於敏感賬戶,格羅斯曼先生說他不用口令,而是隨機亂敲鍵盤,間歇性敲擊Shift和Alt鍵,然後將結果複製到一個文本文件,把這個文件存入一個加密的、有密碼保護的U盤裡。「這樣一來,如果有人用槍指著我的頭,要我說出密碼,我只能說我不知道。」
保管好你的密碼。不要將密碼存放在收件箱或桌面上。如果計算機感染了惡意軟件,你就死定了。格羅斯曼先生將他的密碼文件存入加密的U盤,記住U盤的密碼,這個密碼很長、很複雜。他使用帳戶時把這些密碼複製並粘貼過去,所以就算駭客在他的電腦上安裝了鍵盤記錄軟件,也無法記錄到他的密碼。科克先生用了個比較老套的辦法:他把密碼提示保存在他錢包裡的一張紙上,不是實際的密碼。科克先生說:「我儘量把我最敏感的信息和互聯網徹底隔絕開。」
密碼管理器?也許吧。密碼保護軟件可以讓你把所有的用戶名和密碼存儲在同一個地方。甚至你只要提供一個主密碼,有些程序就會為你創建強大的密碼,並自動登錄你的網站。LastPass、SplashData和AgileBits都為Windows、Macs和移動設備的密碼管理提供軟件。但是你別忘了:科克先生說他根本不用這種軟件,因為即使加了密,它仍然駐留在計算機裡。「如果有人偷走電腦,我就等於丟失了密碼。」格羅斯曼先生說他不信任這種軟件,因為不是他寫的。事實上,今年初在阿姆斯特丹舉行的一次安全會議上,駭客們就演示了如何輕鬆地破解許多流行手機密碼管理器的加密技術。
安全問題要答非所問。諸如「你最喜歡的顏色是什麼?」之類的問題的答案是有限的,而諸如「你的中學是哪所?」等大多數問題的答案都可以在互聯網上找到。駭客們利用這些信息來重新設置密碼,從而控制你的帳戶。今年初,一名駭客聲稱,他用米特·羅姆尼(Mitt Romney)最喜歡的寵物的名字成功地進入了其Hotmail和Dropbox的帳戶。比較安全的辦法是密碼提示和問題本身無關。例如,如果安全問題問你出生的醫院名稱,你的回答可以是:「你最喜歡的歌詞。」
使用不同的瀏覽器。格羅斯曼先生強調不同的事情要用不同的Web瀏覽器。「選擇一個瀏覽器瀏覽你認為不重要的『雜事』:網上論壇、新聞網站、博客等,」他說。「如果你登錄網上銀行或收發電子郵件,啟動第二個Web瀏覽器,完事就將其關閉。」這樣一來,如果不小心進入X級網站,瀏覽器被感染,你的銀行帳戶就不一定受到損害。至於何種活動用何種瀏覽器,Accuvant Labs去年研究了包括Mozilla Firefox、谷歌的Chrome和微軟的Internet Explorer,發現Chrome最不容易受到攻擊。
分享要謹慎。科克先生強調說:「你的電子郵件地址和密碼就等於是你自己。」只要有可能,他都不用他的真實E-mail地址註冊網上帳戶。相反,他用「一次性」e-mail地址,如10minutemail.com提供的地址。用戶註冊、確認在線賬戶,10分鐘後它就自我銷戶。格羅斯曼先生說,他經常警告人們,要把輸入或在線共享的任何東西都看作公開記錄。
「你遲早會被駭客攻擊——這只是個時間問題,」格羅斯曼先生警告說。「如果害怕,就不要放到網上。」