原文信息:

Your Passwords Aren’t As Secure As You Think; Here’s How to Fix That
作者: The How-To Geek

如果你允许软件保存你的密码,任何可以接触到你PC的人都可能破解你的密码,除非你以正确的方式加密–而你很有可能并未这么做.不如让我们看看保存密码的正确和错误的方式.

本文假设你的手提电脑被偷了,相对的,所有能进入你房间的人都是值得信赖的,并不会盗取你的密码.事实上本文的技巧应该均适用于这两种场景.不管你以何种方式保存你的密码,你都应该确保使用安全的密码以及安全的密码提示回答.

一旦你点击了”保存密码” 一切就完蛋了

基 本上任何需要登录的软件都会提供一个保存密码的选项给你.如果你使用了它,你的密码便如明文一般了.即使软件在后台将你的帐号加密保存,一般情况下它也仅 仅是使用固定的值将其加密,逆向工程很容易便可以破解出来 — 而现在不仅仅是可能性的问题,已经的确有人做出了这样的密码恢复程序.

不管你用了多么让人抓狂的Windows密码,只要有人可以接触到你的PC,他便可以使用Ubuntu[1] Live CD将你所有的资料复制到外部设备中并拿到其他机器上去破解–假设你并没有对你整个硬盘做加密的话.如果对方有多一些时间的话,他可以使用Ophcrack[2]算出你的密码,或者使用系统救援盘改掉你的Windows密码.

一旦攻击者可以访问你的文件,他们可以轻易的用各种自由软件来破解你的密码,只需几个点击便可以摆平Outlook,即时通讯,Wi-Fi,IE,FireFox,Chrome或者其他任意的软件.一切只要”Google一下你就知道的太多了”去找找破解软件而已.

Pidgin使用明文保存密码

你没看错,你最喜爱的开源多协议的即时通讯客户端在使用明文保存你的密码.你不信吗? 那好,用你最顺手的编辑器打开 %appdata%.purpleaccounts.xml ,你会看见你的密码就在这里–以任何人都可以直接阅读的方式.

虽然看起来像是Pidgin[3]用 了很糟糕的,一点也不安全的方式来处理安全事宜,但这个决定是经过深思熟虑的.记住,你可以很便利的下载到任何像是Nirsoft’s MessenPass这样的软件用于恢复AIM,Windows Live Messenger, Trillian, Miranda, Google Talk, Digsby等软件的密码.Pidgin的开发者指出他们的选择实际上是安全的首选方法:

将我们的密码用明文保存比使用精确的打乱顺序更安全.因为如果用户并未被错误的安全感误导的话,他很可能会以更安全的方式来使用软件.

当然最佳答案是完全不允许即时通讯软件保存你的密码.但如果你非要保存不可的话,就算没有万全的TrueCrypt[4]设置,也至少应该使用内建的Windows加密.两者都能提供比其他软件那些”伪加密”更好的保护.

唯一的安全存储是密码管理软件

唯 一真正安全的保存密码的方式是使用密码管理软件,它可以安全的记录你的密码,并以强大的主密码来保护你所有其他的密码.不过,如果你设置了一个简单的主密 码,它可能很容易被暴力破解攻破.不要被错误的安全感误导了,使用单一的密码并非代表万无一失.你的密码管理软件至少要有10位字母/数字以确保安全. (猫叔乱入:猫叔的KeePass主密码是16位混合大小写,数字,符号的密码 =w=)

对于密码管理软件,你有很多选择,比如读者最喜爱的KeePass — 一个跨平台的密码管理软件,拥有大量的插件帮助你轻松管理密码.哦,当然,别忘了Firefox有一个内建的密码管理软件

使用FireFox主密码 (多于8位字母)

如果你打算用Firefox来保存你各种网上帐号,你应该确保开启了主密码保护.
可以按以下方法开启:

工具 –> 选项 –> 安全 ->  勾选”使用主密码”

一旦你设置好了,Firefox将使用几乎不可破解的AES[5]加密来保存你的密码– 假如你使用至少1位大写的8位字母/数字密码.如果你用了一个弱到可悲的像是”secret”这样的密码,只需要数分钟的暴力破解便可推倒,但适当的8位以上的随机字符组合密码用暴力破解将至少花费73年.

每次你启动Firefox访问任何需要一个已保存的密码的网站的时候,你会先被要求输入主密码.默认情况下,主密码验证会伴随整个进程的活动,不过你可以安装Master Password Timeout这个插件,它会在指定的时间后重新闭锁你的主密码.当你离开你的桌子并忘记锁住电脑的时候这很有用.

使用TrueCrypt加密所有的东西

不 管你是否使用密码管理软件还是压根不保存密码,你都可以使用TrueCrypt创建一个独立的加密TrueCrypt磁盘并使用携带版软件(aka.绿色 软件)以保证安全.更极端的做法是用TrueCrypt加密整个硬盘,你将会在每次启动时要求输入密码,不过你可以放心了,你所有的东西都是加密的,就算 你用明文的脚本来保存密码.
如果TrueCrypt不是你的菜,那么你可以考虑Windows内建的加密功能,不过你要记住,如果你改了密码你的数据将无法访问,而且Windows密码一旦被破解,所有的加密文件

© 2009 - 2018 冰河的博客