为什么ZF05推荐让我们使用统一密码

ZDNet安全频道原创翻译 转载请注明作者以及出处

在安全技术峰会上，一些知名人士也出现了安全方面的漏洞。现在，就让我们来看一下，从他们的错误中，可以吸取到什么样的教训。
--------------------------------------------------------------------------------------------

　　从以前的一些文章中，你可以已经得知某些安全专家的个人网站受到了黑客攻击。如同连线网站上的文章所说的：

　　由于拥有很高知名度的缘故，安全研究员丹·卡明斯基和前黑客凯文·米特尼克成为关注的焦点，根据留在卡明斯基网站上的一个文件中的内容显示，入侵者认为这两位更象是炒作自己的装腔作势者，对于安全领域没有什么实际贡献。

　　凯文·米特尼克成名的原因是在1995年被作为美国历史的头号计算机罪犯逮捕。在离开了监狱拘留所后，他成为一名计算机安全顾问和作家，希望消除自己背负的恶名。

　　丹·卡明斯基是一名安全研究员，目前担任IOActive公司渗透测试项目的主管。他受到关注的主要原因是对DNS缓存攻击的深入研究，并且在去年的黑帽简报会议进行了主题演讲。他还曾经展示出有力的证据，证明索尼臭名昭著的rootkit工具已经感染了超过56.8万台计算机。

　　实际上，两大知名人士在安全方面出现问题仅仅是冰山的一角。黑客留下的一个文本文件就象一张电话卡，犯罪者分享了妥协方面的更多信息，实际上安全数据被从多台服务器上获取，安全方面的漏洞被揭示出来，并受到了嘲笑。在sucuri.net上，有该文件的副本，采用的是电子邮件格式的标题Zero　For　0wned　5，非法“发布”专题的第五个文件——简称ZF05。

　　在介绍部分的后面，ZF05分享了一些出现问题网站的信息，主要涉及到安全行业的，作为大众选择的“Pwnie奖”，在ZF05作者眼里也受到了痛斥，类似“Anti-sec”肇事者之类的语言也出现过。

　　在所有这些有趣的新闻中(对于某些人来说都是坏新闻)，最吸引我注意力的是PerlMonks为用户密码提供的保护措施，主要原因是在ZF05邮件列表中，它是唯一被列为存在缺陷的，尽管我已经有一段时间没有登陆过了，但我恰恰又拥有一个帐户。原来，在PerlMonks中，用户密码被保存在纯文本格式的数据库中，还没有进行过哈希处理。ZF05中的原话是：

　　PerlMonks拥有者这么做的原因很简单：他们无法支持超过五万行的密码加密操作。

　　你没看错，没有进行哈希处理。只是把它保存到数据库中。这样也方便了进行备份。

　　不管你是否相信，其实perlmonks曾经就这个问题是否可行进行过讨论。按照现在的说法，就是说，如果儿童在精神上有缺陷的话，反而会是更聪明的。因此，由于太忙了和懒惰，我们将这个问题的选择权交给你。我相信你会搞明白的。

　　其实，对于密码设置来说，这不算一个坏选择。程序员经常遇到有趣的事情。采用Perl家伙还好，只是有些沉默寡言。它们中的很多部分可以重复利用。你可以自己来进行研究，我真的不想特别指出任何人。

　　这段内容说明的关键，当然是你永远都不应该在不同的站点上重复使用一个密码。应该对密码进行有效的管理;你只需要记住少数的关键密码，并将其余的密码保存在密码管理器中。

　　当然，从ZF05邮件中也还可以获得其它方面的教训，并且，其中的相当大一部分内容读起来非常有趣。