密码

在等待量子加密问世的同时，作为关心该技术的一名普通用户，还有哪些重要信息值得我们关注呢？首先，我们应认真评估目前存在的真正威胁以及可能存在漏洞数据的价值。

卡巴斯基实验室在最近的一项研究调查中就对用户如何保护在线账户的方式进行了分析。事实证明，大约有1/3的受访者表示自己的所有在线账户总共就用了2-3个相类似的密码。更有1/7的人表示自己的所有账户就单单用了一个密码。提供三条简单的安全规则，借此希望你能对自己的账户安全提起重视。

对于密码目前还没有更好的替代方案，在保护电邮、个人资金以及存储个人数据的设备安全方面的作用更是无可替代。这也是为什么使用唯一可靠密码组合如此重要的原因—至少需在自己最重要的网站和服务中使用。

你是否自认为是一个”网络通”？你是否常常上网冲浪而觉得能区分互联网上的各种”真伪”？ 我们最近决定测试一下我们读者的网络精通水平（该让我们喘口气了，我们总不能一直坐在那里分析网络威胁吧！），最终发现我们能真正认定为”网络通”的网络用户数量实在是少得可怜。 例如，我们给出的测试题是从4个Facebook主页截图中选择一个你觉得登入后最安全的。根据我们的研究调查，只有24%的网络用户选择了正确答案。剩下76%的网络用户心甘情愿地选择网络钓鱼页面，这样会将自己的登录凭证透露给网络犯罪分子 –而这只是其中最简单的一道例题！ 当然，我们应该注意区分真实网页和虚假网页的能力或从垃圾消息中找出合法电邮并非是界定 “网络通”的唯一标准。”网络精通”用户常常具备各种良好的安全习惯。例如，从可疑网页下载未知文件是个坏习惯，相反常常检查操作系统是否存在漏洞，同时定期升级更新来清除病毒是个好的习惯。 时常备份数据是个好习惯，而相反在社交网站上公开过多信息是个坏习惯。使用薄弱密码并将密码写在纸上，随意安装新应用程序或软件，更糟糕的是常常忽视许可协议或访问权限，这些都是很不好的习惯。”精通网络”是信息安全的基础，严格遵守信息安全准则将能保护您的数据、隐私、资金甚至电子设备的安全。 在现实生活中，我们或多或少都会遵循自我保护法则，例如我们通常不会：三更半夜在贫民区四处游荡；有人问你信用卡PIN码时一定三缄其口；或将钥匙留在门口醒目的位置。这些习惯和读写能力一样都是人类的本能，除了一些很少的例外情况，大多数人都出于安全保护的本能做出各种决定。 随着年龄的增大，人的自我保护意识会不断提高，而孩童时代的粗心大意也逐渐消失并被必要的小心谨慎所代替。而在上网时，出于某些原因自我保护本能起到不到任何作用，同时许多成年人变得像孩子一样粗心大意，总是觉得不会出什么问题。我们最近的调查显示有太多的成年人缺乏基本的安全保护意识。在18000名调查对象中，没有一人在测试中得到满分，平均得分仅为50分。 技术的进步常伴随着结构性的变化和剧烈的变革，而人类的意识往往无法及时跟上。有些人仍然相信所谓的网络威胁根本就是虚构出来的，有些人则确信自己能轻松应付，而另一些人则对此视而不见。 这就好比不看两边的车况就贸然闯红灯。在现实的网络中，网络威胁的数量不断增加且愈来愈复杂，因此要想从互联网”全身而退”的可能性越来越低。网络犯罪分子对这一切心知肚明，并利用了人性的弱点：他们算定人们薄弱的互联网安全意识以及常会忽视可疑的互联网行为，因此不断将新的病毒植入到他们的电子设备内。 那普通用户到底该如何应对呢？像我这样的偏执狂可以提供一个简单的答案：你感觉不到危险的存在并不代表没有危险。只要你稍加提高安全意识，就能避免许多严重的问题，比如：丢失儿子小时照片的唯一拷贝、你未完成的小说惨遭外泄或银行账户内巨额资金被盗。 不言而喻，我们应该使用可靠的软件来保护你的所有设备；你应该定期更新反病毒软件并经常扫描自己的文件是否存在病毒。如果有个程序常常占用大量资源，不要因为该程序烦人而不信任和禁用它（有19%的受访者选择了是）。千万不要让网络犯罪分子如此轻易地得逞！ 如果你想测试自己的”网络精通”程度，请点击这里！  

无论是历史著作还是小说作品中引用的大多数密码均属于同一种密码—单字母替换密码。为此我们对这一加密方法的主要漏洞进行了深入研究，借助这一漏洞并通过分析符号的频率模式就有可能破译密码。而早在计算机出现以前就曾有人对此进行过评估。

是否还记得去年闹得纷纷扬扬的好莱坞艳照门事件 – 一些好莱坞女星的裸照被公开放到互联网上？这一事件不仅让一些人整日惶惶恐恐，但同时也是一个极具教育意义的安全例子。 比如，这一事件让许多人意识到将他们宠物的名字作为密码并非最安全的选择；双因素认证对于IT极客而言并非牢不可破，对于任何一名普通iPhone用户而言也同样赢弱不堪。 去年的好莱坞艳照门事件的确闹出了很大动静，这些从苹果iCloud服务（使用苹果设备上传照片拷贝）外泄的照片全部被黑客保存了起来。当时这些黑客通过将网络钓鱼和暴力破解结合使用，只采用了最简单的一种破解方法就成功攻破了该项网络服务。为了弥补这一漏洞和从保护用户的考虑，苹果对iCloud启用了双因素认证（或称为”2FA”）并要求用户每次上传照片至iCloud时都使用这一认证方法。 然而，无论是iCloud，还是Gmail、Facebook和许多其他网络服务，2FA依然是可选项，而非强制选项。因此大多数人选择跳过这一步骤，原因是许多人为了节省时间而且认为使用起来过于繁琐。 然而，就算你不是Kim Kardashia或Kate Upton（时尚名媛和模特），你也会很容易丢失自己电邮或社交媒体上的个人资料。最后造成的结果很可能是灾难性的，尤其是你在网络公司上班的话。 两把锁更安全 大多数人认为双因素认证就是系统向手机发送的一次性短信密码。没错，这的确是网络服务最常用的一种2FA方法，但却并非是唯一的方法。 一般来说，2FA就好比一扇装有两把锁的门。其中一把锁是传统的登录密码组合，另一把可以是任何形式的内容。此外，如果你觉得两把锁还不够的话，只要你喜欢，想装多少把都可以，但开门的时间会变得更长，因此最好还是先安装至少两把锁。 通过短信发送的密码是一种容易理解且相对可靠的认证方式，但却并非总是使用方便。每次访问网络服务时，你都需要将手机握在手里，随后等待短信发到手机，最后输入短信内的验证码… 一旦你输错或输入太迟的话，就必须重复之前的操作。但如果服务运营商网络出现拥堵的话，那短信接收很可能会延迟。就我个人而言，这的确很烦人。 如果手机信号未能覆盖手机的话（在旅途中时常会发生），你根本就收不到验证码。而一旦你手机不幸丢失，而你当时又无法利用其他通讯工具的话，这就更加让人沮丧了。 为避免上述情况的发生，许多像Facebook和Google这样的网络服务提供商采用了其他的方法。例如，他们提供一长串你能预先编译的一次性密钥，打印出并保存在某个安全地方。 此外，使用通过短信发送一次性验证码的2FA不一定每次都能成功，而且一旦使用其他未知设备登录的话也同样可能失败。无论使用哪种方法，决定权都在你自己手上，还需要看你的偏执程度了。所有绑定你账号的应用程序（例如：电邮客户端）都可以使用这一方法。一旦使用特殊生成的密码，其安全性可以长久得到保障。 那么，除非你每天都要换不同手机登录网络服务，启用短信验证码的2FA依然不失为一种较为方便的认证方法。只需成功设置，通常来说都能正常使用。 通过智能手机上确认身份 如果你需要经常出差旅行，使用专门的应用程序不失为一种更智能的启用2FA方式。与短信验证不同的是，这一认证方法可以离线使用。一次性密码不再由服务器生成而是智能手机（当然，首次使用需要在联网条件下设置）。 尽管市面上有许多验证应用，但Google Authenticator绝对可以堪称行业标准。除了Gmail以外，这一程序还支持像Facebook、Tumblr、Dropbox、vk.com和WordPress这样的网络服务。 如果你更钟情于拥有多种功能的应用，可以试试Twilio Authy。尽管与Google Authenticator相似，但却拥有不少其他有用的功能选项。 首先，该应用允许你将证书保存到云和复制到其它设备（智能手机、PC电脑、平板电脑以及包括Apple Watch在内的其他平台）。即使某个设备被盗的话，你也依然可以控制自己的账户。该应用每次启动时都需要输入PIN码，如果你的设备不幸感染病毒的话，密钥也可以被撤销。 其次，与Google Authenticator不同的是，一旦你使用新设备的话，Twilio Authy还会让你的生活变得更加轻松。 单密钥认证

人类的行为通常都有规律可循，因此完全可以预测。尤其当不法分子在破解密码、密文和PIN码时，人类行为的可预测性可轻易被利用。我们中的许多人都会将名字、出生日期和其它容易猜到的个人信息设为密码，更不用提’12345’这样的极简易数字密码仍被广泛使用。那我们每个人在设置自己的锁屏图案时，是否也有据可循且容易预测呢？事实证明—的确如此。 来自一家挪威公司- Itera Consulting的研究专家Marte Løge对此做了一项分析，主要是分析人们分别为购物应用、智能手机锁屏和网银所设置的图案密码。最终的结果着实令人大吃一惊。 首先，应用的类型与图案密码的设置强度有着密切的关系。相比智能手机锁屏，人们更倾向于对网银甚至购物应用使用强度更高的图案密码。 其次，在Løge调查的数千受访者中，许多人（约占10%）使用的都是字母样式图案，其强度与类似’12345’这样的极简易数字密码一样弱不禁风，几乎起不到任何安全防御作用。 数字样式的图案密码完全弱不经且最容易被猜到 第三，尽管图案密码可以有大约39万种组合，但人类行为的特有规律使得这一数量大幅缩减。上述提到的大多数组合都包含了8个或9个点，但不幸的是，实际中使用这些组合的人少之又少。因此人们使用最多的大约有10万种组合。 尽管10万种组合听上去数量庞大，但事实上其中的3/4包括了8点和9点的组合，而这些组合人们通常很少用到 据调查，图案密码的平均长度大约是5点—但这根本不足以保护智能手机或应用程序的安全。5点的图案密码长度只能有约7000种组合，显然这比简单的4位数字PIN码还要羸弱不堪。而人们最常用的图案长度是4点，这只能有大约1600种组合。 4点图案密码长度使用最为广泛 此外，要想进一步将组合的数量减至更少，你完全可以轻松预测出图案密码的起始点。人们通常倾向于将角落设为起始点，而其中大约一半的图案组合更都是将左下角作为起始点。而多达73%的人在设置图案密码时，都同时使用了左下角和右上角。 有趣的是，这与是右撇子还是左撇子以及是单手（小屏幕）还是双手（大屏幕）用智能手机都无太大关系。它们的各自占比都非常接近。 另一个有趣的事实是，女性相比男性更倾向于设置较弱的图案密码。此外，图案密码强度与年龄也有一定关系：年龄越小，越可能使用强度更高的图案密码。因此，知道性别和年龄确实有助于预测使用的图案密码。 我们能从这项研究中学到什么？基本上来说，如果你使用安卓锁屏图案，或为一些敏感应用设置图案密码时，想真正保护自己数据的话， 最好使用与众不同的策略。以下是我们的建议： 千万不要使用人人都能想到的数字样式图案组合。使用这种薄弱图案密码的效果和不使用图案或数字字母密码的效果相差无几。 起始点选择不太常用的位置：最好的选择是右边中间的位置。右下角同样也是相当不错的选择。 图案密码的长度最好设为8点或9点：首先组合数量庞大；其次很少有人使用这一长度。 当然，可以考虑将图案密码改为数字字母密码。因为即使是长且可靠的数字字母密码相比高强度图案密码来说，记起来还是要更容易些。

时刻保持警觉性，多用用大脑。如果你觉得记忆一长串可靠的密码过于枯燥的话，完全可以换种有趣的形式。事实上，要找到一种有趣的复杂密码记忆方式其实并不太难。当然，你也可以使用密码管理器。务必仔细阅读这些我们精心挑选的简单法则，可助你战胜网络犯罪分子。

LastPass作为一款流行的密码管理器，最近公开其遭到网络攻击。网络攻击者成功病毒感染了用户电邮地址、密码提示、每个用户的盐以及认证散列。密码本身并没有被病毒感染，原因在于该服务并未将密码保存在云端。然而，LastPass仍然建议用户更改LastPass主密码并启用多重认证。

最近卡巴斯基实验室专家发现了一种狡猾的欺诈方法，使得网络犯罪分子无需访问用户的登录名和密码，即可窃取个人信息。这些网络犯罪分子并未试图窃取受害人登录凭证—而是采取了更加聪明的方法。

密码元素常常运用于许多推理、间谍和冒险题材的故事、小说及电影中。一般来说，无论是此类题材的小说作者还是电影制片人对于如何破译密码的具体细节往往一笔带过甚至完全省略，取而代之的则是剧中主人公的突发灵感，才最终破译了密码。这些灵感最终为主人公成功破译密码起到了至关重要的作用。密码破译方法的大篇幅描述无论是在小说故事还是电影中都非常少见，为此我们为读者们精心收集那些有趣且罕见的详细描述密码破译方法的电影和小说。

编者注：本文作者Sergey Dolya是俄罗斯最受欢迎的博主之一。本文讲述的是他一个朋友的故事。受害人名叫Katya Turtseva，是一家国际性IT公司的高级职员。我们之所以要介绍受害人的背景，是想说明她对于网络安全常识也略知一二。 最近我一个朋友的Skype账号被盗了。这群网络骗子们决定好好利用这个机会，向她账号通讯录内的联系人骗取钱财。在短短一个小时内，他们就成功骗到了超过10万卢布（约合1500美元）！ 由于受害人账户的通讯录内有大约300名联系人，因此这群网络骗子可谓”挖到了一座金矿”。他们决定向通讯录内的这些朋友假装借钱，而且金额都不大：15000卢布（约合250美元），并假意承诺第二天归还。而事实上，这恰好是Yandex Money（俄罗斯流行的支付系统）每次转账允许的最高限额。 他们的计划非常简单：假装’Katya’想要网购一些东西，但其Yandex Money账户内却没钱了。这一方法相当有可信度，成功让许多人都相信他们正在与受害人对话。他们决定在不打电话给受害人朋友的情况下要求转钱；其中有些人甚至还转了两次。 我们特意摘录的一段骗子（F）与其中一个受害人朋友之间的聊天记录： F：我就直接说重点了。我需要你的帮助。 V：发生什么事情了？快跟我说！然后发张照片给我。 F：我向问你借点钱，明天就还。 V：要多少？我可以转钱给你，只要我账号里钱够的话。 F：15000（卢布） V：好的，没问题。我怎么转给你？ F： 谢谢 V： 我要怎么转给你？ F：我需要用银行卡支付，但问题是我的账户里一分钱也没了。你能帮我付一下吗？ V： 没问题 F：http.yandex….（支付页面链接） V：我需要收款人的银行账号 V：在给孩子换尿布 F：哦。给你账号：（网络骗子的账号） V：等会儿lull Vanya睡了，我就把发票的截图发你。他现在在哭。 F：好的，我一直在线。 F：哦，Lena，我想起来了。你还有15000卢布吗？没有的话也没关系，你已经帮我够多的了。如果你有的话，再帮帮我，我明天会把3万卢布以及帮忙费一起还给你的

微软宣布了一项宏大的计划，在即将发布的Windows 10操作系统中将生物识别认证取代密码认证。“密码取代”运动已如火如荼地开展了数年，然而此次微软即将推出的”Windows Hello”功能可能是迄今为止最理想的机会：彻底根除陈旧但又无处不在的密码认证方法。 就目前而言，寻找密码认证替代方法的主要难点在于采纳性和实用性的问题。例如将纹身作为密码就是个很荒唐的想法。体内植入芯片的前景似乎一片光明，但我可以想象许多人会因为计算机芯片植入体内而感到身体上的不适。推特的数字系统尽管在实用性方面表现不错，但在采纳性这一块，却需要与开发和维护用户受密码保护的账户和设备的各家组织进行合作。 电脑摄像头采用了红外技术，可在各种光线条件下识别你的脸部特征或虹膜，从而让用户通过验证。 根据Net Marketshare的数据分析，Windows系统（从Windows 95到Windows 8.1）占据91.56%的市场份额。显然即将发布的Windows 10也将在操作系统市场中占有惊人的市场份额。尽管就目前而言，所谓的生物识别技术更多的还是出现在科幻小说中，使用人群也仅限于那些电脑高手和早期尝试者，但随着Windows 10的发布，所有的计算机用户都将能亲身体验这些最尖端的技术。 通过将硬件和软件结合使用，无论是在传统的台式机还是移动设备，各版本的Windows 10均能通过虹膜、指纹和脸部特征进行用户验证。 “在检测脸部特征或虹膜时，Windows Hello通过将专用硬件和软件结合使用以精确验证是否是用户本人–而不是你的照片或试图假扮你的其他人。”微软操作系统小组副总裁Joe Belfiore说道。”电脑摄像头采用了红外技术，可在各种光线条件下识别你的脸部特征或虹膜，从而让用户通过验证。” 内置有指纹扫描器的计算机在安装Windows 10后将能与Windows Hello完美兼容。更新的Windows 10专属电脑将含有Windows专用硬件，其中包括：指纹阅读器、带照明的红外传感器或其它生物传感器。 我们都知道密码验证的局限性。一般来说，高强度密码难以破解，但也难以记住；低强度密码尽管容易记住，但也同样容易被破解。最重要的是，我们不能在不同网络服务之间共享密码。如果我们真的针对不同网络服务设置不同高强度密码的话，最终我们将不得不面对一大堆眼花缭乱的密码，单就一个密码就难以记住，更不用说所有的了。 考虑到Windows 10还未推出，目前并未发布针对该操作系统的大量安全分析报告也不足为奇了。这并不奇怪，因为微软始终在”企业级保护”系统领域走在最前头。 值得称赞的是，微软仅将生物识别数据保存在本地，这意味着你的面部特征、虹膜以及指纹识别数据将仅存在你的个人设备内，而不会出现在微软总部的服务器上。

自从亲身参与生物芯片试验以来，最令我感到失望的可谓是苹果对于NFC（近场通信）技术的态度。或者更直接地说，苹果公司妄图夺取在其平台使用NFC技术的控制权。 每一部iPhone 6手机均内置有NFC芯片，但除了苹果自身以外不允许任何其他第三方开发者使用，因此也无法针对苹果的NFC开发第三方应用程序。苹果对此的解释可谓意料之中：来自库比蒂诺（苹果总部）的家伙们积极推广其拥有专利的Apple Pay免触支付服务，并使用这一简单的技巧以避免任何可能威胁到其新平台的竞争。在iPhone 6刚刚推出之际，我即了解到了这一情况。但对于植入手内芯片的话，这完全又是一回事了。正如奥斯卡•王尔德（Oscar Wilde）所说的： “梦想家只能在月光下找到自己的路，他的惩罚是第一个看见黎明。” 未来即使一流的生物芯片技术都无法适用于所有人 在偶然发现我手内植入的微芯片无法与我的iPhone手机交互后，我不得不接受这样一个严酷的事实：未来即使一流的生物芯片技术都无法适用于所有人。此外，还有很大可能被用于操控用户。 如今，物联网正蓬勃发展，而专为这一理念而构建的基础设施也正在加紧部署，其中包括但不限于平台、协议和标准。就这一点看来，’先来先得’的规则在这里完全适用。那些刚好目前正在高效开发或与其他公司合作开发这一技术的公司而言，将获得抢先起步的优势，并将其他竞争对手远远甩在身后。没有一家公司将愿意与他人分享这一无可匹敌的优势。 事实上，如今的高科技巨头们并非是想着如何重新定义市场：而是设法”驯服”消费者，并牢牢地将自身产品与用户捆绑，从而占据更大的市场份额。 当然对于一名普通消费者而言，并不会对此关心太多：如果这个不适合的话，就换另一个好了。但对于我自己以及未来将装备更加完美生物和神经植入芯片的仿生人而言将非常关心这一问题–因为这不再是仅仅换一个那么简单。 因此，如果在不久的将来，地铁内的自动控制化认证系统可以与植入我体内的生物芯片兼容，但是公交车站忽然决定部署另一种类型的闸道系统，我将不得不（听起来有些奇怪）决定选择以后应该乘坐哪一种公共交通。 我甚至还没有提到跨境旅行的问题，以及一旦本国居民碰巧与另一国的基础设施’无法兼容’又该怎么办。可能我有意夸大了这些潜在问题的规模性，但我希望你们能明白我想要表达的意思。 为了进行试验，我使用了一部安卓智能手机（HTC One M8）和一部Windows智能手机（Nokia Lumia 1020） 植入生物微芯片的时间越长，我对于未来的展望也更加谨慎。我们将妖怪从瓶子里放出来，但却未准备好迎接伴随而来的结果。为了改变这一状况，我们需要在各个层面付出巨大的努力，包括最高层面的决策。就在我设法利用目前可从Google Play下载的NFC应用程序进行试验时，我突然就有了这样的想法，但却受制于安卓基础设施。 芯片本身运行完美，绝无差错：使用方便且不会产生任何故障或延迟。智能手机却是另一回事了。我再一次建议Google安卓团队应该反复设计在NFC应用程序内使用的代码。有时候，在对芯片内存进行一系列的读/写操作后，智能手机则完全停止对芯片的识别并需要重新启动。有时候，NFC应用程序会卡住或甚至终止运行。换句话说，这一技术目前还相当不成熟（不成熟的地方遍布各个方面）。 但我们今天所要介绍的是关于一个十分重要的使用案例：通过生物芯片解锁智能手机。在试验过程中所发生的种种事情进一步加深了我的担忧。 为了试验的目的在这里我安装了一款小型应用程序— TapUnlock： 我通过对植入我手内的生物芯片进行编程，使得每次触碰智能手机后即可让屏幕自动解锁（例如，从手中拿走时）。这意味着在这种情况下，传统的密码被一种独一无二的密钥所取代，而该密钥却保存在植入你皮肤下的芯片内。我对这一简便且优雅的方法激动不已（尽管只是第一天）： 但随后应用程序就卡住了，而且…好吧，可能是设置时出问题了（快速分析后证实包含所有已用密钥的文件奔溃了）。 原因，其实无关紧要。问题的关键是智能手机可能无法进行这样的操作，因为没有要求输入密码就无法解锁。没有一种可替代方法可解锁屏幕，就算重启也无济于事。最终，我手上的只是一块毫无用处的塑料而已。而现在我们找到了一种极具开拓性的方法：可以轻松绕过这一保护措施！你无需是一名黑客–你唯一必须掌握的技巧就是对现代手机操作系统的原理有所了解（这里指的是安卓系统）。安卓就其本身而言是一种相对安全的操作系统，主要原因是不允许第三方开发者篡改其内核。 而现在我们找到了一种极具开拓性的方法：可以轻松绕过这一保护措施！你无需是一名黑客–你唯一必须掌握的技巧就是对现代手机操作系统的原理有所了解（这里指的是安卓系统）。安卓就其本身而言是一种相对安全的操作系统，主要原因是不允许第三方开发者篡改其内核。 通过对开发进程和标准的完全控制，Google可以确保其内核以及本地应用程序的稳定性。但对于第三方开发者，系统总是保持警惕状态，这也是为什么Google允许用户删除任何存在延迟、bug以及烦人的应用程序的原因。

有关告密者爱德华•斯诺登揭秘美国国家安全局事件又有了新消息，且内容极度令人震惊：NSA（美国国家安全局）及其英国的”合作伙伴”- GCHQ（英国政府通讯总部）据称对金雅拓的网络进行了病毒感染，同时还窃取了用于保护数以亿计SIM卡的加密密钥。 如此大规模地对SIM卡进行病毒感染不禁让人对全球蜂窝通讯系统的安全性打上了一个大大的问号。这并不意味着你的通讯正在受到监视，但真要监视的话只需一个按键即可实现。 如果你不了解金雅拓是什么公司的话，在这里我可以告诉你，这是一家移动设备SIM卡的生产厂商。据《经济学人》杂志报道，事实上，该厂商所生产的SIM卡数量远超世界其它任何的SIM卡厂商。 刊登在The Intercept上的文章最先发出了”指控”，该文章估计金雅拓每年生产大约20亿张SIM卡。联系一下其他方面的数据，目前全球人口达71.25亿；而移动设备估计有71.9亿台。据报道，金雅拓的总共450家客户中，其中不乏知名的移动服务提供商：Sprint、AT&T、Verizon和T-Mobile等。公司在全球85个国家拥有业务，并运营着40家生产基地。 SIM是”用户识别模块”的缩写。SIM卡就是插入你移动设备的小型集成电路。其中内含唯一的”国际移动用户识别码”（IMSI）以及一个加密的验证密钥。该密钥由一串数字组成，主要用来验证你的手机是否真的是你的。这就好比是登录密码配对，但由于完全基于硬件因此无法更改。 一旦拥有了这些密钥，网络攻击者即能够监视移动设备的语音通话和数据通讯，但前提条件是知道这些设备所装SIM卡的加密密钥。如果这些指控属实的话，这意味着NSA和GCHQ的确能够在全球范围监视大量的蜂窝网络和数据通讯，且无需任何理由和司法认定。 你可能经常听说非技术媒体谈论大量有关NSA所开展与元数据相关的活动，但诸如此类的泄漏事件以及被揭秘的受感染伪随机数发生器的的确确是个麻烦。元数据是一系列敏感信息，可以告诉你受害人的位置、联系人名单及其一切个人信息。针对SIM卡或加密协议的大规模攻击能让网络攻击者实实在在地看到—以纯文本形式—我们与他人通讯的所有内容。尽管许多内容可以从受害人的位置和设备交互信息推断而得，但纯文本形式的通讯内容却无从推断。正如上文所说，这些通讯内容都可以实时获取，根本无需进行任何的分析。 据报道，The Intercept将NSA前承包商所窃取的一份机密文件公之于众，其中NSA是这样说的：”[我们]成功将病毒植入多台[金雅拓]计算机，相信我们已掌控了该公司的整个网络…” 隐私和蜂窝通讯并非是我们唯一关心的问题。伴随而来的还有大量财务问题的产生。正如美国民权同盟成员-技术专家Chris Soghoian以及约翰•霍普金斯大学译码者Matthew Green在The Intercept的这篇文章内所注意到的，SIM卡设计并非只为了保护个人通讯。其设计还为了简化账单流程，以及在蜂窝网络刚开始使用的阶段防止用户对移动服务提供商进行欺诈。而在一部分的发展中国家中，大部分人使用的都是过时且防范薄弱的第二代蜂窝网络，许多用户依然依靠其SIM卡进行转账和微型金融服务操作，就如同广泛流行的M-PESA支付服务。 针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响，而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。 不仅仅只有发展中国家会产生经济问题：金雅拓还是芯片以及使用PIN码或EMV支付卡内微芯片的大型制造商，此类支付卡则是欧洲最主要的支付方式。这些支付卡同样也有被感染的可能性。据the Intercept报道，金雅拓所生产的芯片还被广泛应用于大楼门禁、电子护照、身份证以及某几款豪华汽车品牌（宝马和奥迪等）的钥匙。如果你的芯片和PIN码银行卡是由维萨、万事达、美国运通、摩根大通或巴克莱发行的话，那你支付卡内的芯片很有可能就是金雅拓所生产，而里面的加密密钥也可能已经被病毒感染。 尽管受到一系列的指控以及在所谓的秘密文件中也被谈及，作为当事方的金雅拓却坚决否认其网络安全已受到病毒的感染。 “不论是在运行SIM活动的基础设施，还是安全网络的其它部分，我们都没有发现任何黑客入侵的迹象，因此不会对诸如银行卡、身份证或电子护照在内的其他产品产生危害。我们每一个网络都单独分开，也从未与外部网络连接。”公司在其声明中这样说道。 然而，公司此前的的确确曾挫败过多起黑客入侵尝试，有理由相信是NSA和GCHQ所为。 该事件以及许多斯诺登所揭秘的内容有一个重要问题并未引起注意，那就是这份文件注明的日期是2010年。换句话说，这一所谓的SIM卡计划已经实施了5年的时间，而该技术也是在5年开始使用的，而5年已经到了一台计算机使用寿命的期限。 除了个人以外，SIM卡密钥受病毒感染的风险还会将我们所有人的个人隐私暴露在危险之下，如果斯诺登揭露的文件属实的话，这一网络攻击将导致各国与美国国际关系的交恶。还记得两个月前吗，我们中的许多”激进派”都对朝鲜政府黑客攻击索尼影业的事件是否属于战争行为不置可否？该网络攻击很有可能是朝鲜政府所为，但事实上幕后却可能另有他人，对电影工作室进行了攻击并将一些电影剧本和电邮内容公布到了互联网上。针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响，而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。

有一天醒来我发现手上的多了一片创可贴，贴在了我的拇指和食指之间的一个小伤口上。那是我前一天参加跆拳道比赛时留下的伤口。前一天我去哪儿了，在我身上到底发生了什么？ 慢慢地，一连串的画面在我的脑中一一浮现：闪光灯、观众的欢呼声、刺鼻的防腐剂味道以及手持特殊注射器的纹身男。 “好吧，再没有任何退路了。你不是想改变这个世界吗，就去做吧！”我这样想着。我最终在短短的几分钟内将NFC生物芯片植入到我的皮肤下面。 没错，这些完全是好莱坞式的电影情节： 但在现实中，远没有那么酷和简单，这是我在此次试验中最先体会到的。为了植入芯片，你需要一支3毫米粗针管的特殊注射器。比医用常规针管要粗得多。 在这过程中不使用任何麻醉剂。注射师给了我一个灿烂的微笑并说了些 “如果你能握紧拳头的话就不会感觉痛。让我们开始吧！”诸如此类的话。当我还在努力理解注射师所说的这些话的时候，我发现注射针管已经扎进了我的手。我好像听到了钢制针管在我皮肤下注射的声音。 整个注射过程仅用了5秒钟都不到。其疼痛感就相当于抽血化验的感觉—手指、血管和屁股同时产生疼痛。所以下一次的话，最好还是进行局部的麻醉（起码喷雾麻醉）为妙。 不错，下次必须使用麻醉剂。显然，与芯片植入技术有关的问题不计其数，如果都写在纸上的话，拼起来的话将比整个银河系的面积还要大。为了解决其中大多数的问题，我们将需要开发新一代的芯片，但必须要基于早期接受者的反馈才能不断更新升级。 为那些非专业领域人士以及第一次听说的人准备的补充说明：就在几天前，在SAS2015峰会上我们将来自全球最顶尖的安全信息专家、领导者以及数名卡巴斯基实验室员工聚集到一起，共同参与皮肤下植入芯片的试验。 一同参与试验的还有两名志愿者：我自己和卡巴斯基实验室欧洲人事部主管Povel Torudd。Povel Torudd是瑞典人，但目前居住在伦敦。 这到底是一块什么样的芯片呢？它是一个极小的（大小仅为12 x 2毫米）微型装置，最多可储存880字节内容，一旦植入后能与周边高科技设备进行交互作用，包括智能手机及其应用程序、笔记本电脑、电子锁、公共交通进入闸道以及各类物联网世界的例子。所有交互过程均采用无线技术，触摸即可启动。 正如往常一样，’植入芯片’的主意是大家在酒吧一边喝酒一边讨论互联网发展的时候定下来的。 从某种意义上说，我可能是第一个受大型机构资助的俄罗斯人生控体，该机构与本次试验的结果有着直接的利益关系。 我和Povel是在SAS2015峰会之前3个月才决定参加’芯片植入’试验的。还是在酒吧：我们坐在一起一边喝着啤酒，一边讨论着互联网的发展。谈论的话题包括：互联网的显著优势以及诸如技术陈旧的一大堆互联网缺点，而陈旧的技术之所以还在使用的原因可以引用尼尔•斯蒂芬森在其《编码宝典》科幻小说中一句最经典的台词’摩多不是那么容易进去的’： 道理很简单，老的技术通常已为大多数人所熟知和了解，且上手操作简单；此外所有目前的电子和软件技术在现有框架内建立和测试。在取得成功的同时，公司的利润空间也已被压缩得很小以至于只有采用量子学技术才能计算出来，而一旦新开发技术发生与老技术不兼容的问题，你的公司将立即被打回原型。 举个例子来说，我们长期以来都使用密码认证的方法，关于所存在的缺陷，所有信息安全行业业内人士都已达成了共识。 在酒吧我们一直畅聊到了深夜，最终做出了这个决定。我们认为现在到了表明立场以及改变世界向更美好方向发展的时候了，而且是以一种激进和大众时尚的方式来展示属于我们自己的创新（假设不会受到所谓30年更新循环期的影响）。并没有任何人强迫或要求我们将芯片植入体内，同样参加此次试验也是毫无报酬和自愿的。 对于生物体与计算机之间的协同效应我深表关切–未来不可避免将面对–这将使仿生学成为高科技的一个分支。问题在于许多现代技术在开发时，不可避免地都疏忽了安全和隐私方面的问题。 这样的例子举不胜数：卡巴斯基实验室欧洲研究人员David Jacoby只花了极短的时间就成功入侵了自己的智能家庭。 然而，一台联网的咖啡机或智能电视根本无法与人类生物体相提并论。我对参与该试验志愿者的要求有两个：一是能够了解该技术的优点，二是能发现其缺点和漏洞。随后通过将一些相关保护方法概念化后，在有生之年将其开发成形。 目前最紧要的工作是如何避免我们的后代成为仿生网络犯罪分子手下的受害者—这样的事情迟早将会发生，统计数据将会告诉我们一切。 从理论上说，大范围应用体内植入芯片依然至停留在想象的阶段。未来不仅可能会被用于打开办公室和家里的大门以及车门，还可管理数字钱包以及无需密码的情况下开启设备（芯片本身可以作为标识符使用）。如果高科技继续高速发展的话，密码保护方法将很快消亡。 此外，植入芯片也可用于重要个人数据的加密存储器，包括：医疗记录、个人档案以及护照资料等内容。其好处不言而喻，一旦这些信息被泄露的话，你就能知道是谁在什么时间以及因为什么原因访问了这些内容–当然是为了个人隐私考虑。 对于我自己来说，还确定了本次试验的五大目标：

Gizmodo于近期发布了一份2014年最差密码排行榜，并自鸣得意地对那些采用简单结构登录凭证的”傻瓜们”大肆嘲弄了一番。有些讽刺的是，这似乎在提醒人们作为Gizmodo母公司的Gawker Media曾经是薄弱密码管理方面的”典范”。在2010年，网络攻击者通过病毒感染Gawker网络，致使其20万个薄弱密码遭到解密。将Gizmodo嘲讽的对象与其母公司在2010年所遭受的读者密码泄露事件进行一番对比难道还不够有趣吗？ 有趣的是，在今年的最差密码排行榜中，排名前25位的密码中有16个密码也同样是2010年Gawker数据外泄事件中最常用的密码。如果我们再统计一下Gawker外泄事件中最常用的50个密码，其中仅有4个新密码未同时包含在两份榜单中。如果设置的密码是”access”、”mustang”或纯数字”696969″，那么恭喜你，此类密码的安全强度要高于大多数密码。 从2010年的@ Gawker #密码外泄#事件到今年发布的最差#密码#排行榜之间并无太大改变 该榜单集合了包含今年数据外泄的所有登录凭证，由安全公司SplashData负责收集和整理。如下所示，SplashData每年都会发布这样的一些榜单，并注明每个的密码排名位置和去年相比是否发生改变，是上升、下降还是保持不变。对于那些同样在Gawker密码外泄事件中排名前50位的密码，我用星号进行标标注。 1. 123456（排名未变）* 2. password（排名未变）* 3. 12345（上升17位）* 4. 12345678（下降1位）* 5. qwerty（下降1位）* 6. 123456789（排名未变） 7. 1234（上升9位）* 8. baseball（新晋上榜）* 9. dragon（新晋上榜）* 10. football（新晋上榜）* 11. 1234567（下降4位）* 12.

从某种程度上说，在你将PC电脑或移动设备连接网络时，就好比一名孤独的战士在未知地域迷失一样-而且这一状况在你每次上网时都在重复上演。许多情况下，你的设备根本无法检测出网络另一边到底是谁：是你最好的朋友还是精心伪装的网络犯罪分子？ 当然，有许多安全解决方案旨在保护你设备上网和脱机时的安全，但不管怎样这对于用户只是其次。因此决定我们的数据和网银登录凭证是否被盗，最终还是取决于我们自己。因为只有我们自己才会去点击可疑链接、下载存在危险的附件，以及当看到反病毒解决方案提示警告信息时选择’忽略’选项。 此外，所有的反病毒程序都是遵照我们的命令进行工作。因此我们自身也同样需要具备一定的安全知识和能力…要么还不如直接拔掉网线、扔掉所有闪存卡、放弃使用Wi-Fi热点并永久将所有设备保持脱机状态。如果你并不想这样做的话，那就应该对自己作出有关网络安全的八项承诺并在新的一年里格守承诺。 在新的一年对自己作出有关#网络安全#的八项#承诺# 我承诺学习有关高强度密码的知识以及如何才能快速创建并记住许多密码的方法。我将针对每一个网站使用唯一密码并为自己的主要电邮账户设置极其独特的密码，因为这既安全又简单。 我将了解为何安装所有系统更新如此重要的原因，并承诺在每次有新更新推出后就尽快安装。 我承诺将对所有的重要数据进行备份，这样我就不会丢失珍贵的照片、媒体文件以及我的”辛苦劳动成果”。此外，我还承诺检查我的备份是否工作正常。我将认真地做好备份工作，因为我并不想为了恢复重要文件而支付一大笔”赎金“。 我承诺在连接公共Wi-Fi时将非常小心。我将观看这个视频并了解到为何应尽可能避免使用免费WiFi的原因。 我将阅读有关什么是网络钓鱼以及如何避免遭遇的文章，如此我将不会成为网络犯罪分子手中的受害者。我承诺将不再被轻易愚弄：我将检查所有接受到消息的链接（电邮、Facebook以及其它平台）以及所有即将打开网站的文件扩展名。 我承诺将不再下载任何的盗版内容。我同时还承诺在使用torrent网络时小心谨慎。 我承诺无论使用联网还是脱机状态的设备时都保持警惕，防止自己和家人遭受任何形式的骚扰。 最后同样重要的，我承诺一如既往重视我的反病毒软件所提供建议，并全年保持受保护状态。 而对于卡巴斯基实验室的整个团队而言，我们承诺将通过努力的工作为您提供永久的保护！

欢迎阅读有关IT安全错误观念系列的第二篇博文。在本篇博文中，我们将为您介绍与密码管理有关的一些问题。正如你所知，拥有一个高强度密码相当重要。那么到底什么样的密码才算是高强度呢？ 在对互联网用户的随机采访中，大多数人都同意”拥有一个高强度密码相当重要”的观点，但同时也表示要记住所有这些密码十分困难。我认为很多人都将这个作为设置薄弱密码的借口，而不是尝试想出好的解决方案。 但问题是我们甚至无法确定哪些密码才算是高强度的。许多人认为高强度密码就是将一串复杂的随机字母、数字和特殊字符组合在一起。然而，从安全角度而非加密角度看，一个高强度密码并不一定是完全随机的，否则将很难记住。 Remembering long lists of #passwords require us to do something we may not enjoy: study. https://t.co/Dnbt1Dju5E #security — Kaspersky Lab (@kaspersky) October 21, 2014 我非常希望能与密码狂热者们好好辩论一番，但请记住，本篇博文的目的并非是介绍最复杂和安全的密码算法。反而，我只是想通过本文与你们共享一些有用的安全密码小贴士和设置技巧，从而让你不再使用薄弱的密码或在必须身份验证的每一个网站使用相同的密码。 你当然可以使用类似于卡巴斯基密码管理器的密码管理工具，但本篇博文的目的是希望能够教会你在无需任何工具的帮助下，简单地进行密码管理。 那么让我们来看看如何才能创建一个高强度密码。首先，我认为在创建一个高强度密码时，需要考虑的最重要细节是如何使其”个人化”。想要记住一个计算机生成的并由随即字母、数字和特殊字符组成的密码相当困难，这一点我非常赞同。但如果是一串与你个人有关的密码，那要记住肯定容易得多。

有关公共Wi-Fi热点对于用户的危害性我们已论述过多次，但今天我们将专门讨论来自于家庭无线网络的威胁。许多无线路由器用户认为家庭Wi-Fi不存在任何威胁，今天我们就要进一步弄清楚这一不幸的事实。本篇指南虽然不尽完整，但其中依然有几个不错的安全小贴士有助于提升你家庭网络的安全性。 第一步：更改管理员密码 用户经常所犯最严重的错误之一是使用开箱即用的默认管理员密码（最常用的是”管理员名称：admin和密码：1234″）。再加上一些不太重要的远程漏洞或开放式无线网络连接，使得网络犯罪分子可借机完全掌控你的路由器。如果你还没有设置的话，我们强烈建议您将默认密码设置成更加复杂的密码。 为了更好地展示我们的观点，我们截图了几张TP-Link的路由器设置界面。当然这些图片看上去可能与其它品牌路由器设置略有不同，但整体逻辑还是类似的。 第二步：禁用远程管理 第二个经常遇到的问题是开放路由器控制界面访问。通常生产商启用仅基于LAN路由器的默认控制，但也不总是如此。确保检查你的路由器控制界面是否在Web上可用。 在多数情况下，要想禁用远程控制，需要取消勾选相应的勾选框（在我们的例子中–输入0.0.0.0地址）。通过Telnet或SSH协议，同样可阻止访问路由器（前提是你的连接能够支持）。精通相关设置的用户也可在计算机硬件的Mac地址上限制对基于LAN网络的控制。 第三步：禁用SSID广播 默认情况下，无线路由器会将你的Wi-Fi网络ID（即”SSID”）传输到每一个人。通过取消勾选设置中相应勾选框可随意进行更改。如此，将提升你网络的安全性，从此不再容易遭受黑客入侵。但代价是当设备每次连接网络的时候，你都需要输入一次SSID。这一步不是强制性的。 第四步：使用可靠加密 如果你的订阅不受限，是否一定要允许每一个人能使用你的无线网络？我们强烈建议您不要那么做。可能会有一个技术熟练的少年黑客在寻免费连接时，恰巧你却将自己的Wi-Fi设置为和公共热点一样易受威胁的网络：个人信息和信用卡数据遭窃、电邮和社交网络登录凭证丢失以及所有家用智能设备受病毒感染。 此外，网络犯罪分子还可能利用你的家庭网络从事不法活动，而警察也会将你的家查封！因此我们建议启用WPA2加密（WEP并不可靠）并为自己的Wi-Fi热点设置高强度密码。 第五步：通用即插即用及其他 如今无线路由器不仅能够作为Wi-Fi访问热点和便于互联网访问LAN节点，还支持不同协议自动匹配并加入联网智能设备。 通用即插即用（UPnP）、DLNA支持（数字生活网络联盟）以及诸如此类，如果不用的话建议禁用；使用这些功能受软件内漏洞影响的风险相对较低。这里有个普遍性规律：禁用所有你无需用到的功能。一旦需要用到的话-只需重新启用即可，操作并不复杂。 第六步：升级内置软件 通常路由器所有人并不擅于跟踪固件更新。我们建议使用从提供商官方网站所下载的最新固件：官网定期针对所存在漏洞和错误发布补丁，而这些漏洞和错误会向网络黑客大开方便之门，从而感染我们的网络。 如何升级软件的操作指南通常保存在路由器web界面的单独选项卡内。你所要做的就是下载固件图片、备份路由器配置（有时过久版本的文件无法用于新的固件，因此这一情况下你可能需要从一开始就运行流程）、运行更新程序并在重启系统后恢复配置。 升级#固件#是最简单也是最必要的步骤 你可能也会另外使用由计算机爱好者社区所开发的固件（例如：OpenWRT），但需要小心：没有人能保证路由器在完成更新后是否能正常运行。即使是第三方软件也只应从知名项目的官方网站下载，千万不要相信任何可疑资源。 第七步：需要保护的不仅仅是路由器 绝对的’终极’保护根本就不存在，过去几年已证明了这一事实。合理设置路由器、使用高强度密码和加密加上及时升级固件将大幅提升你无线网络的安全等级，但依然无法保证你的网络能够100%安全且免于黑客入侵。 7 tips for securing your connected home. http://t.co/YMdv5vGrLj

苹果OS X Yosemite（10.10）来了，让我们来看看它为我们提供了哪些安全视角。苹果实际上专辟了一个页面，专门讨论OS X的安全性，此页面的文字说明冗长 － 非常长，但易读易懂。唯一遗憾的是，其中并没有多少内容与新功能相关。 首先，苹果声明说安全性是”首要考虑因素”。这种说法在当今受到用户的极度追捧。事实上应该是一贯如此，但并非所有开发者都会在构建产品之初就将安全性考虑在内。苹果是这么做的，至少它是这么说的。 涉及的大多数安全工具都有具体名称 － Gatekeeper、FileVault等等。虽说给工具起名字算是一种推广手段，但确实也让人顾名思义，用户一看就知道工具的用途。下面让我们挨个了解下这些安全工具。 Gatekeeper 这不算是一项新工具（OS X Mountain Lion 10.8中已经有此工具），它用于保护Mac不受恶意软件的攻击，也能避免”从互联网下载行为不当的应用”。这个工具的用途和行为与Windows的用户帐户控制（UAC）非常类似。简而言之，Gatekeeper会检查从非Mac App Store下载的应用是否具有正确的开发商标识。如果没有，则不会启动此应用，除非更改相应设置。 默认情况下，Gatekeeper支持用户从Mac App Store下载应用，也支持下载具有开发者标识的应用。若没有开发者标识，则会阻止应用，但你可手动管控此设置。其他选项包括”任何来源”（最不安全）和”Mac App Store”（其他来源全部排除在外，是安全性最高的设置）。 FileVault 2 此安全工具用于对Mac电脑进行全驱动器加密，是通过XTS-AES 128加密方法来保护数据。苹果称初始加密速度快，可在后台执行，不影响工作。它还可加密任何可插拔驱动器，帮助用户保护Time Machine备份或其他外接驱动器。 RT @threatpost: