密码可以在硬盘上存放多年

2018-01-13 06:11:08

通过Celeste Biever将您的密码或信用卡号码输入计算机是一个时刻的工作但是如果你认为你的个人信息在你点击Return键后就会消失,那就再想一想:他们可以坐在电脑的硬盘上多年,等待黑客把它们扯下来他们希望他们的结果能说服程序员更加努力地使计算机更加安全安全专家表示,随着人们在网络上花费更多时间,黑客变得越来越复杂,将个人信息存储在计算机上的危险日益增加有一些明显的安全措施,例如从不允许您的计算机存储您的密码但即使这样也不能保证安全当您输入密码时,它会存储在随机存取存储器(RAM)中,暂时保存,直到其他数据覆盖它或计算机关闭但是每隔一段时间,计算机就会将其RAM的内容复制到硬盘上,在那里它很容易成为黑客的牺牲品,黑客可以直接读取它或设计蠕虫通过电子邮件发送回来敏感数据保留在RAM中的时间越长,就越有可能被复制到磁盘上,直到磁盘被覆盖 - 这可能不会发生多年来自加利福尼亚州帕洛阿尔托市斯坦福大学的Tal Garfinkel及其同事已经创建了一个名为TaintBochs的软件工具,它可以模拟完整计算机系统的工作在模拟中,敏感数据可以被标记或“污染”,然后在通过系统时被跟踪在计算机上通常不可能进行这种跟踪接下来,Garfinkel和他的团队模拟了运行常用软件的计算机,这些软件定期处理密码或机密个人信息,例如Internet Explorer,Windows登录脚本和Apache服务器软件在8月份在圣地亚哥举行的USENIX安全会议上提交的一份文件中,他们得出的结论是,这些计划几乎没有采取措施来限制信息保留的时间长度一些经过测试的软件甚至复制了敏感信息,显然没有任何限制新泽西州霍博肯史蒂文斯技术学院的安全专家丽贝卡赖特说,这是第一次有人试图衡量这个问题的严重程度 Garfinkel希望这些结果能够激励软件开发人员采取行动 “我们今天构建我们系统的方式正在使攻击的影响远大于它所需要的,”他说诸如Windows和Linux之类的操作系统无法阻止将数据写入硬盘驱动器所以Garfinkel认为最好的策略是确保数据在最短的时间内保存在RAM上实现这一目标的一种方法是,RAM中的所有数据一旦完成就会自动变成一串零 - 他说这可以通过应用程序中的一些额外代码行完成也许最终的解决方案是在输入数据之前加密数据,然后将其保存到RAM中,并安排使用它的程序首先解密它 Wright说这些策略并不困难,软件编写者可以根据需要将它们放到位主要的抑制因素是将数据归零或加密会消耗可用于其他更具吸引力的任务的处理能力,或者仅仅是为了使计算机运行得更快但加利福尼亚州伯克利独立国际计算机科学研究所的安全专家Vern Paxson表示,由于处理器能够进行更多的计算,我们已经接近可以在不影响性能的情况下将安全措施构建到系统中的程度 “我们终于获得了足够的性能,”他说,