網絡密碼：越複雜越好？

腦子裏要記20個密碼？肯定還有更簡單的方法吧。如何領先黑客一步——又不把自己的腦子燒壞呢？

 

這幅文字雲圖像顯示的是人們最常用的密碼，其中字體越大其使用率越高。本圖初發表於“信息周刊”下“BYTE”的《密碼管理前五名》一文，作者Dazzlepod。

鬥膽讓我猜猜：你上網用的所有密碼——網上銀行、郵箱、網購、微博人人網的登陸密碼——在你腦子裏是亂七八糟。你也非常清楚，訪問不同的網站，必須選擇一串不一樣的、排序複雜的字母、數字和符號做密碼，然後把它背下來。（先人的智慧教導我們密碼守則第一條：絕對絕對不能把密碼寫下來。）可是你不會真這麼做，因為你知道自己的腦子沒有這種能力。於是你選擇用熟悉的單詞來注冊每一個網站：比如自家狗狗、你家那條街的名字，再加幾個臨時想到的排列，比如“123”作為結尾。也有可能你真的遵守了那條守則，也因此在登陸銀行賬號的時候常常被鎖起來，或不停回憶各種荒謬的安全問題的答案。（“你小時候最喜歡的運動是什麼？”我現在就被問到這一題，可是我小時候最喜歡做的“運動”就是想方設法翹掉體育課。iTunes商店還有一個問題是問客戶他們“最不喜歡的車子”是什麼。）最可怕的是，最近幾年，你還會被逼著設一個字母混合大小寫的密碼，可有哪一個正常人能記得起如此多重組合的排列呢？至少那個人肯定不會是你。

如果你覺得自己設的密碼太差勁了，我有個理由能讓你不那麼愧疚：這樣的爛密碼是普遍存在的。上個月，PIN密碼泄露事件的分析報告顯示，大概有十分之一的人會選擇“1234”做密碼；而最近雅虎網安全漏洞事件也讓我們發現，有上千名用戶設置的密碼要麼是“password（密碼）”“welcome（歡迎）”“123456”要麼就是“ninja（忍者）”。人們總是會設一些爛到不行的密碼，甚至拿它去保護一些比自己的存款還重要的東西。軍事安全專家們大都知道，在冷戰高峰時期，美國核彈的“解鎖密碼”竟然是00000000。五年前《新聞之夜》亦曾揭露：1997年以前，英國部分核彈的鑰匙鎖，其本質就是一個自行車的車鎖。至於怎麼選擇讓彈頭在空中還是地麵爆炸，隻要用宜家的內六角扳手（Allen key）就可以搞定。而這些根本就不是密碼。遇到敵方攻擊的時候，快速反擊比其他什麼都重要。

我們的密碼處在危險之中，而這也成了邪惡的黑客和“掛羊頭”的安全測試人員一場又一場“軍備比賽”。可是你隻要跟那些內行人聊聊，就知道先人的智慧其實也是值得商榷的。舉個反例：把密碼記下來可能才是一個好主意。有些老板會命令員工90天更換一次密碼，這可能並不是在提高安全性，反而是給自己惹麻煩。同樣的事情也發生在一些銀行的密碼設置規範上：密碼不能超過12個字符，不允許使用空格鍵，等等。而在所有規定之中隱藏的真相是：密碼——作為保護人們在互聯網上的私人資料的途徑，最後卻在根本上被違背了它的本職。我曾向一個經驗豐富的網絡安全研究員比爾·切斯維克（Bill Cheswick）指教，問他有沒有辦法能一勞永逸地解決這一問題。他想了一會兒，提議道：“就把你的電腦燒掉，然後滾海邊玩兒去。”盡管你的腦子可能已經亂得不行，但還是有既安全又不會失去理智的方法。隻不過這種方法跟以前別人教你的不大一樣。