2009-02-28

密碼、媽咪、密密麻麻…

你的密碼會不會很難記?不會?很簡單,很短,而最重要:很方便,對不對?有沒有考慮過你的方便會不會造成其他人的麻煩?會。只要看我們學校:


我們學校的信現在在很多地方不受歡迎。為什麼?因為我們有發過垃圾信。怎麼會發呢?簡單地說:因為一些教職員跟學生用太簡單的密碼,像把帳號名稱也當密碼。Windows會為了方便(又來了)把e-mail裡面的地址放到聯絡簿。

所以,如果你剛在寫一個worm或某種木馬程式而你想多收集一些有效(有人在用)的地址,你只要告訴你的軟體讀那個聯絡簿。有人這樣做,得到我們學校多一些帳號,然後用另一個軟體測哪一些帳號密碼太懶。那些帳號後來就變成別人的玩具…

所以應該要怪計中的人,對不對?他們怎麼允許人家選這種密碼?很簡單:他們沒有選擇。如果人家一定要用一個有漂亮的(?)“全中文界面”的封閉軟體(對,我在說Mail2000),你就只能用那個軟體提供的功能,也沒有辦法改它不要你改的設定。而我們的Mail2000不讓我們定密碼的難度。它也不會讓我們了解裡面到底發生什麼事,所以根本沒有辦法發現一些帳號開始亂發信。反正,最重要的是方便…

OK,我必須承認這件事情其實也讓我方便一點:從外面來的信我現在大部分不用回答 - 因為對方根本不會受到。Hmm,是不是該對那些懶惰的人說“謝謝”?但是至少不只有我們學校有人用較“簡單”的密碼,其它地方知道同樣的問題。當然,寫病毒的人也知道

而且,談到密碼的話… 我最愛的學術網路上的資通安全網站(專家,專家…)雖然要求注冊的時候密碼不可以少於八碼,但是不允許用文字跟數字之外的字… (當然,錯誤訊息不會告訴你這件事,你必須實驗才會發現)OT:我剛發現從我第一次到那邊,他們已經用第三個憑證。不過,他們的憑證到現在也還沒有好。原來用自己簽的(這樣當然無效),後來從別的網站把憑證拷貝過來(有效的,但是在別的網站有效,所以這裡又無效),現在又是自己簽的。而那些人要教所有的學校怎麼做好資通安全…

0 comments: