有人曾經說過,沒有絕對的安全,只要破解它所花費的代價遠高於其收益就是安全的了。從這個意義上講,安全還真不能做得太絕了。不幸的是,我被自己的安全意識涮了一回。。
早在2004年,對一大堆的密碼管理搞得我頭暈眼花,當時爲了安全考慮,多數的密碼設置的都是隨機字符,太多了,大腦就記不下來了。記在文本文件裏、郵箱裏、還是抄到本子上,都感覺不夠安全。
於是,就找了個密碼管理器,用的是雪狐密碼管理器(免費版的)。但能讓我後來悔死的是,爲了安全,我用了一個從來沒用過的密碼,而且,堅決不在任何地方使用這個密碼,也不告訴任何人。當然,爲了自己能記得住,密碼沒有用隨機生成的,而是和我密切相關的一些信息的組合。
當我記了大量的密碼後,用到2006年的某個時間時,軟件提示到期了。升級好後,好像軟件又不怎麼支持WIN2003(我一直是用WINDOWS 2003的),一次使用密碼管理器後,竟然把密碼庫丟失了,差點讓我崩潰。當然,虧得我是搞數據恢復的,這個還不是太難的事情。因此也摸了下軟件的算法。
這個軟件使用的數據庫是TinyDB,在數據庫內用用戶設定的密碼進行了加密,讀數據時直接以加密方式讀取,同時上層再用ZIP加密壓縮一下這個庫,密碼相同。這就是作者提到的雙重加密,工作時,先將ZIP解壓生成臨時TinyDB加密庫進行讀取,更新後再重新壓縮,刪除過程文件。因加密與解密的過程存在很多刪除、創建文件的過程,所以在突發性的斷電等操作時,可能會損壞數據庫。
研究之後,有點不想用的感覺了。一是不好支持我的操作系統;二是免費軟件還是不太健壯;三是ZIP的密碼即使暴力破解也比較容易,雙重密碼其實更脆弱了(只要解了一個,另一個密碼一樣出來了,弄巧成拙了),另外也感覺這樣記得太麻煩了,懶得處理了。所以,就按密碼用途分類批量改了後,逼着自己記下幾個算了。另外一些不常用的(其實有些非常非常重要),就記在這個庫裏不動它了。
到了2009年,忽然需要用到以前的一個重要密碼,重新打開原來的雪狐密碼管器(當然,是把時間改到2006年以前),竟然。。。竟然。。。。竟然不記得密碼了。天暈地暗啊,當時的感覺完全是一個字:囧。鬱悶死我了,無耐之下只好嘗試搜刮忘記了,結果試了幾天都沒有試出來。我都快崩潰了。那個痛恨啊!
想盡了所有的辦法,還是沒辦法想得起來,卻忽然發現自己曾經記過一個提示,猜了半天,確定原來的密碼裏有我當時的出租屋的固定電話號碼(8位固定電話)。於是費力氣找回原來的號碼(幸虧現在是2009年,再過幾年,這個任務可能也完不成了,汗!),但無論如何組合也還是解不開。
於是,於是我真得火大了,決定用ZIP密碼暴力破解方式搞定它。我確信原來的密碼不會超過16位,猜測自己也不會用複雜的特殊字符。在定義好規則後,通過Advanced Archive Password Recovery裏統計,發現需要近1年的時間。1年就1年吧,放到我的服務器上,讓他跑一年,也要搞定它,哼!
既然確定密碼裏有原來的電話號碼,就加個MASK吧。設好後?12345678掩碼後(假設電話號碼是12345678,我原來的密碼是這樣的規則,但前面的?是多少位的,是什麼,我不知道),就等待着悲壯的暴破了。![]()
一種長歌當哭的感覺啊。。。。。。
。。。。。。
等等!不對!屏幕上好像有反映。
我KAO,竟然屏幕上已經大大地跳出了對話框,密碼是+12345678。我倒!
弱智的我,竟然只是在數字前加了一個“+”號。看來我真是大大高估了自己了。
遊戲人生啊。
收穫一下吧:
1、ZIP的密碼加密算法很不健壯,我測試了一下,對全數據9位的密碼羣舉,全部完成只需30多秒,太可怕了。看來以後真應該全用PGP 或者至少RAR的加密了。
2、密碼還是不要按安全專家的建議,每個密碼都不相同,都是亂字符,同時還一段時間後換,個人感覺可能會很累。當然,如果是商業用途,另當別論了。