一项新研究发现,黑客可以从敲击键盘声中推算出你的网络密码。听起来是不是有些吓人?但是别担心,有一些白帽黑客已经提出了一些更加安全的密码建议。或许你又会想,白帽黑客是什么?白帽黑客意味着是遵守法律的黑客,类似于一种职业,帮助企业或政府找出现有系统中的安全漏洞。
识别你的密码十分简单据英国《每日电讯报》18日报道,美国南卫理公会大学网络安全专家发现,人们在电脑键盘上打字时产生的声波可以被智能手机成功地接收到。这些声波被接收后,熟练的黑客能轻易破译出哪些键被敲击。即使在喧嚣的环境中,整个过程也能在几秒钟内完成。
研究报告的撰写者之一拉尔森(Eric++ Larson)教授在接受《每日电讯报》采访时说:“我们能够以41%的准确率识别出人们正在键入的内容。”“我们可以把这个比例扩大到41%以上,比如说,看看我们认为可能的前十个单词。”这听起来可能不是很高,但是把它和一串最常见的密码结合起来,它突然就变成了一个更大的威胁。拉尔森补充说:“这种拦截非常危险,因为没有办法得知你是否受到这种方式的黑客攻击。”
今天,我们几乎什么都用智能手机和互联网+——无论是通过手机银行获取金融服务,通过社交媒体与朋友保持联系,还是发送与工作相关的电子邮件。我们使用的许多应用程序和服务都受到密码的保护,这种防御机制越来越容易被恶意行为者破解。这就是为什么创建一个强大而复杂的密码很重要。
IBM安全执行安全顾问莫尔(Etay Maor)表示,完美的密码可能并不存在。但使用长短语来创建密码,可能难以破解。“即使你选择了一个密码,比如说8到10个字符长,非常复杂……计算机还是很容易很快就能猜出来。”例如,可以选择“I want to go to a Bon Jovi concert”这样的短语,并将其转换为密码。
一些白帽黑客指出,猜测密码的一种常见技术算法是所谓的“蛮力”攻击,即入侵者不断猜测各种字符组合,直到找到匹配的为止。这对人类来说是一项非常耗时的任务,但对计算机来说却相对容易。
白帽黑客的生活白帽黑客的工作是揭露安全风险。白帽黑客们花一天时间撬开用于保护人们前门的智能锁,但闯入并不是他们的目的——他们想要进入控制这把锁以及全球其他类似锁的“智能中心”。
像科技公司兹帕托(Zipato)制造的智能集散器,控制着从锁到恒温器和安全系统的各种小装置,获得对中心的管理访问权就像获得使用兹帕托技术的任何家庭的主密钥一样。
达达曼(charles Dardaman)和他的朋友、信息安全专家、惠勒(Jason Wheeler)在达拉斯居住。他就破解了兹帕托的密码锁,但他并不追求财务。事实上,他和惠勒立即通知了兹帕托有关这次入侵的情况。
达达曼和惠勒是有道德的黑客——他们以侵入系统为生,帮助提高技术的安全性。这些“白帽黑客”与犯罪黑客的区别在于,他们不会做任何违法的事情。许多人在政府机构或公司工作,而另一些人则在家里的实验室里工作,他们更喜欢为了好玩而黑客。
但这并不意味着他们所有的黑客都是经过严格授权的。当达达曼和惠勒把他们的工作日花在攻击那些要求他们测试自己弱点的公司上时,他们把他们的夜晚和周末花在非官方的“副业”上。其中一个周末的实验就是兹帕托黑客攻击。
这种有道德的黑客行为会对人们的安全产生真正的影响。2015年,某白帽黑客远程劫持一辆吉普车,迫使克莱斯勒召回140万辆汽车。去年,来自“匿名者希文德”(Calgary Hivemind)白色帽子组织的黑客闯入Nest(智能温控器制造商,谷歌子公司)的安全摄像头,警告人们注意安全漏洞——吓跑房主,迫使Nest重置密码,并鼓励用户采用双重验证。
由于早期数据泄露以及社交媒体和在线零售的出现,黑客数量在本世纪初开始增长。在那些日子里,从犯罪黑客变成白帽黑客并不罕见。现在,像达达曼这样的人可以在学校里学习道德黑客课程,并获得网络安全方面的在线认证。
如今,达达曼就职于Critical Start公司,该公司将有道德的黑客外包给大公司和银行。该公司是日益增长的信息安全行业的一部分,该行业正在努力遏制日益高涨的网络攻击浪潮。
达达曼的合同大多在一到两周之间。通常,一个公司不会告诉他们的安全团队达达曼在那里,允许他在他们的网络中安静地移动,观察事情是如何工作的,并找到他深入系统的方法。但是猫捉老鼠的游戏只持续几天。 “如果他们在一周之内抓不到我,他们应该重新评估他们的安全工具。”
这并不意味着公司总是喜欢他们并非所有的黑客都只是为了暴露安全风险。23岁的香港计算机科学家王曼春(Jane Manchun Wong)利用业余时间开发逆向工程应用程序,以了解网络公司接下来会有哪些功能。
今年4月,她宣布instagram将尝试为某些用户隐藏照片的“赞”计数。“当我第一次发布这个消息时,instagram试图告诉我,‘我们不是在测试这个’。”当月晚些时候,Instagram宣布,它将开始测试七个国家的一些用户隐藏“赞”的行为。
王的黑客行为确实引起了媒体的广泛关注。当她发布关于Instagram的消息时,几乎整个互联网都爆炸了。王指出,一些公司不喜欢她做的事情,但他们也没办法让她保持沉默。
大多数白帽黑客表示,他们并不想让公司“伤自尊”。通常,他们会私下通知一个组织,并给他们90天左右的时间来修补任何安全漏洞——这是谷歌的Project Zero提倡的标准。“如果他们能回应并解决问题,那就太好了。”达达曼说,“如果他们说他们不会修复,我会提前发布报告。”
王也愿意与一些公司合作。去年,她发现Facebook正在开发一个javascript库,以提高web应用程序的速度。当她开始在twitter上暗示这个项目时,Facebook的一名员工主动联系她,要求她不要透露细节,因为他们计划明年公布这个项目——她答应了。今年5月,她很高兴地发现Facebook已经发布了这个项目的开源版本。
但许多黑客表示,他们觉得有责任让用户知道安全漏洞。当公司因为他们暴露了潜在的漏洞而对他们发火时,他们会质疑公司是否认真对待安全问题。在兹帕托的案例中,该公司在收到报告后不久做出了回应,承诺将尽快修复缺陷。“他们不喜欢听我说。”达达曼笑着说,“但他们把它修好了。”
iWeekly周末画报独家稿件,未经许可,请勿转载
