网络密码:越复杂越好?
斗胆让我猜猜:你上网用的所有密码——网上银行、邮箱、网购、微博人人网的登陆密码——在你脑子里是乱七八糟。你也非常清楚,访问不同的网站,必须选择一串不一样的、排序复杂的字母、数字和符号做密码,然后把它背下来。可是你不会真这么做,因为你知道自己的脑子没有这种能力。于是你选择用熟悉的单词来注册每一个网站:比如你家那条街的名字,再加几个临时想到的排列,比如“123”作为结尾。也有可能你真的遵守了那条守则,也因此在登陆银行账号的时候常常被锁起来,或不停回忆各种荒谬的安全问题的答案。最可怕的是,最近几年,你还会被逼着设一个字母混合大小写的密码,可有哪一个正常人能记得起如此多重组合的排列呢?至少那个人肯定不会是你。
如果你觉得自己设的密码太差劲了,我有个理由能让你不那么愧疚:这样的烂密码是普遍存在的。上个月,PIN密码泄露事件的分析报告显示,大概有十分之一的人会选择“1234”做密码;而最近雅虎网安全漏洞事件也让我们发现,有上千名用户设置的密码是“password(密码)”“welcome(欢迎)”“123456”。人们总是会设一些烂到不行的密码,甚至拿它去保护一些比自己的存款还重要的东西。军事安全专家们大都知道,在冷战高峰时期,美国核弹的“解锁密码”竟然是00000000。五年前《新闻之夜》亦曾揭露:1997年以前,英国部分核弹的钥匙锁,其本质就是一个自行车的车锁。至于怎么选择让弹头在空中还是地面爆炸,只要用宜家的内六角扳手(Allen key)就可以搞定。而这些根本就不是密码。遇到敌方攻击的时候,快速反击比其他什么都重要。
我们的密码处在危险之中,而这也成了邪恶的黑客和“挂羊头”的安全测试人员一场又一场“军备比赛”。举个反例:把密码记下来可能才是一个好主意。有些老板会命令员工90天更换一次密码,这可能并不是在提高安全性,反而是给自己惹麻烦。同样的事情也发生在一些银行的密码设置规范上:密码不能超过12个字符,不允许使用空格键,等等。而在所有规定之中隐藏的真相是:密码——作为保护人们在互联网上的私人资料的途径,最后却在根本上被违背了它的本职。
密码破解手法形式多样,然而当中最重要的反而不是靠邪门歪道,而是靠蛮力强行攻击。
这时,密码长度所能产生的你无法想象的作用。假设有一个黑客的电脑每秒钟能猜测1000种五位纯字母、完全随机、全部小写的密码组合,比如“fpqzy”,那最多需要3小时45分就能破解成功。现在只要把密码设成20位,破解的时间自然就会增加一点:要花650万兆年的时间。
现在就有一个人为预测的问题。毕竟没有人能想出一个字母与数字完全随机的排列组合。相反,人们会遵循一些自然规则,比如用一些已经存在的单词,然后将字母O用数字0代替,或者在姓氏后面跟上一个年份。黑客们也知道这一点,所以他们的破解软件会综合这些规则进行猜测,从而有效减少时间,快速猜中目标。每次,在一百万条密码中都能出现一个新的漏洞,而每次黑客们都能借此有效学到人们设置密码的新知识,也使得他们破解密码更加轻而易举。你可能以为自己够聪明,能想到一个绝佳的方法设置密码,其实黑客们早已熟稔于胸。
所以说,最不可能破解的密码就是一长串完全随机的字母、数字、空格和符号,可真要这么设你就背不下来了。不过,既然长度这么很重要,你会发现一个惊人的事实:一长串无规则的英文单词,且全用小写,就比已经很短小、还遵循银行那些烦人规定的密码(像M@nch3st3r)要安全得多。而且这样的密码还更好记,因为你在记忆中已经建立了一个画面:有一群吵闹的轮胎吵醒了一只在河边钓鱼的鸵鸟。”
而且其实事实比这更糟。因为密码太难记了,于是人们发明了“密码追回”,当中,安全问题就简单得连黑客都答得出来。这就是为什么2008年莎拉·佩林的个人邮箱会被黑客黑掉:入侵者把她的邮政编号和高中校名全给猜对了。
有一些网站会让你使用密码短语(passphrase),就是刚才说的“钓鱼鸵鸟”那种。可是大多网站都不会这么做。在这样的情况下,很多安全专家都认为,人们应该无视银行的规定把密码写下来。他们的逻辑其实很简单:因为你觉得记在纸上很不靠谱,你就会想个折中的办法,最后你就选择最不安全的密码。这就是安全问题的麻烦之处:你必须得权衡利弊。越方便意味着越不安全;对远程攻击防得越紧就让狡猾的室友越有机会趁虚而入。
比尔·切斯维克(Bill Cheswick)和很多人一样,坚信我们这个社会正在沦入密码的混沌之中。与其他人不同的是,他觉得自己得为此负一部分责任。1994年,作为AT&T的虚拟究部——贝尔实验室(Bell Labs)的成员之一,他参与合作撰写了一本书。书名耐人寻味:“防火墙与网络安全:击退狡猾的黑客”。这本书为现代网络安全奠定了基础。可是现在,他认为密码成了“一根倒刺!谁能通晓那么多事情?“还有那么多规定!你还得混合符号啊,大小写啊,数字啊……”切斯把这些规定称作是“蝾螈眼”,因为他们就像魔药的配方一样。
除此之外,他还提到,把精力都集中在密码的复杂化,这也变得越来越无关紧要,因为现在更加严峻的威胁是键盘记录器——一个秘密安装在你电脑里的软件,可以通过网络监视你所按下的键盘按键。如果想降低风险,你可以改用Mac,或将不安全的Windows XP系统升级为Windows 7,并装上反病毒软件。但真正最保险的方法是永远不要访问那些携带恶意软件的网站。同样危险的还有“网络钓鱼”攻击,很多媒体都炒作过,就是把一封邮件或网址包装得很和谐,比如把它伪装成你银行的登陆网页,以此骗你输入密码。
也许有一天,我们不用再操心这些事情,也许以后会有革新发展能够彻底将密码代替。也许可以利用触屏技术,借此检测你与电脑互动间最细微的差别——你手指间的距离,你点击与拖动触屏时的速度。此外,新泽西罗格斯大学的技术人员已经做出一个指环的样本,你将它戴在手指上,它就会爆出微小的电流,通过用户的皮肤发射到屏幕上,以确认用户的身份。指纹识别系统已被嵌入在部分手提电脑中,但由于该技术仍存在太多问题,目前尚未得到重视,但它还是可以被改善的。可你别急着松口气。在可预知的未来里,“密码仍不会消失”,切斯维克说道。“尽管我很希望密码能够消失,可它们毕竟还是太方便了。”
与此同时,他还建议我做一件事,尽管为了完成这篇文章的我已经被自己所做的研究给吓傻了。他要我装入一个被称作是“密码钱包”的软件,比如LastPass或1Password。这些软件能将你所访问的每一个网站生成一组高度随机的密码,并用一个主密码将它们保存起来。我装上了LastPass之后,通过它选了一个非常长的序列,包含英文单词和数字。比方说现在我已经完全不知道、以后也不会知道我的邮箱密码是什么,但这不要紧,因为LastPass随时都能把密码告诉我。
如果你觉得自己设的密码太差劲了,我有个理由能让你不那么愧疚:这样的烂密码是普遍存在的。上个月,PIN密码泄露事件的分析报告显示,大概有十分之一的人会选择“1234”做密码;而最近雅虎网安全漏洞事件也让我们发现,有上千名用户设置的密码是“password(密码)”“welcome(欢迎)”“123456”。人们总是会设一些烂到不行的密码,甚至拿它去保护一些比自己的存款还重要的东西。军事安全专家们大都知道,在冷战高峰时期,美国核弹的“解锁密码”竟然是00000000。五年前《新闻之夜》亦曾揭露:1997年以前,英国部分核弹的钥匙锁,其本质就是一个自行车的车锁。至于怎么选择让弹头在空中还是地面爆炸,只要用宜家的内六角扳手(Allen key)就可以搞定。而这些根本就不是密码。遇到敌方攻击的时候,快速反击比其他什么都重要。
我们的密码处在危险之中,而这也成了邪恶的黑客和“挂羊头”的安全测试人员一场又一场“军备比赛”。举个反例:把密码记下来可能才是一个好主意。有些老板会命令员工90天更换一次密码,这可能并不是在提高安全性,反而是给自己惹麻烦。同样的事情也发生在一些银行的密码设置规范上:密码不能超过12个字符,不允许使用空格键,等等。而在所有规定之中隐藏的真相是:密码——作为保护人们在互联网上的私人资料的途径,最后却在根本上被违背了它的本职。
密码破解手法形式多样,然而当中最重要的反而不是靠邪门歪道,而是靠蛮力强行攻击。
这时,密码长度所能产生的你无法想象的作用。假设有一个黑客的电脑每秒钟能猜测1000种五位纯字母、完全随机、全部小写的密码组合,比如“fpqzy”,那最多需要3小时45分就能破解成功。现在只要把密码设成20位,破解的时间自然就会增加一点:要花650万兆年的时间。
现在就有一个人为预测的问题。毕竟没有人能想出一个字母与数字完全随机的排列组合。相反,人们会遵循一些自然规则,比如用一些已经存在的单词,然后将字母O用数字0代替,或者在姓氏后面跟上一个年份。黑客们也知道这一点,所以他们的破解软件会综合这些规则进行猜测,从而有效减少时间,快速猜中目标。每次,在一百万条密码中都能出现一个新的漏洞,而每次黑客们都能借此有效学到人们设置密码的新知识,也使得他们破解密码更加轻而易举。你可能以为自己够聪明,能想到一个绝佳的方法设置密码,其实黑客们早已熟稔于胸。
所以说,最不可能破解的密码就是一长串完全随机的字母、数字、空格和符号,可真要这么设你就背不下来了。不过,既然长度这么很重要,你会发现一个惊人的事实:一长串无规则的英文单词,且全用小写,就比已经很短小、还遵循银行那些烦人规定的密码(像M@nch3st3r)要安全得多。而且这样的密码还更好记,因为你在记忆中已经建立了一个画面:有一群吵闹的轮胎吵醒了一只在河边钓鱼的鸵鸟。”
而且其实事实比这更糟。因为密码太难记了,于是人们发明了“密码追回”,当中,安全问题就简单得连黑客都答得出来。这就是为什么2008年莎拉·佩林的个人邮箱会被黑客黑掉:入侵者把她的邮政编号和高中校名全给猜对了。
有一些网站会让你使用密码短语(passphrase),就是刚才说的“钓鱼鸵鸟”那种。可是大多网站都不会这么做。在这样的情况下,很多安全专家都认为,人们应该无视银行的规定把密码写下来。他们的逻辑其实很简单:因为你觉得记在纸上很不靠谱,你就会想个折中的办法,最后你就选择最不安全的密码。这就是安全问题的麻烦之处:你必须得权衡利弊。越方便意味着越不安全;对远程攻击防得越紧就让狡猾的室友越有机会趁虚而入。
比尔·切斯维克(Bill Cheswick)和很多人一样,坚信我们这个社会正在沦入密码的混沌之中。与其他人不同的是,他觉得自己得为此负一部分责任。1994年,作为AT&T的虚拟究部——贝尔实验室(Bell Labs)的成员之一,他参与合作撰写了一本书。书名耐人寻味:“防火墙与网络安全:击退狡猾的黑客”。这本书为现代网络安全奠定了基础。可是现在,他认为密码成了“一根倒刺!谁能通晓那么多事情?“还有那么多规定!你还得混合符号啊,大小写啊,数字啊……”切斯把这些规定称作是“蝾螈眼”,因为他们就像魔药的配方一样。
除此之外,他还提到,把精力都集中在密码的复杂化,这也变得越来越无关紧要,因为现在更加严峻的威胁是键盘记录器——一个秘密安装在你电脑里的软件,可以通过网络监视你所按下的键盘按键。如果想降低风险,你可以改用Mac,或将不安全的Windows XP系统升级为Windows 7,并装上反病毒软件。但真正最保险的方法是永远不要访问那些携带恶意软件的网站。同样危险的还有“网络钓鱼”攻击,很多媒体都炒作过,就是把一封邮件或网址包装得很和谐,比如把它伪装成你银行的登陆网页,以此骗你输入密码。
也许有一天,我们不用再操心这些事情,也许以后会有革新发展能够彻底将密码代替。也许可以利用触屏技术,借此检测你与电脑互动间最细微的差别——你手指间的距离,你点击与拖动触屏时的速度。此外,新泽西罗格斯大学的技术人员已经做出一个指环的样本,你将它戴在手指上,它就会爆出微小的电流,通过用户的皮肤发射到屏幕上,以确认用户的身份。指纹识别系统已被嵌入在部分手提电脑中,但由于该技术仍存在太多问题,目前尚未得到重视,但它还是可以被改善的。可你别急着松口气。在可预知的未来里,“密码仍不会消失”,切斯维克说道。“尽管我很希望密码能够消失,可它们毕竟还是太方便了。”
与此同时,他还建议我做一件事,尽管为了完成这篇文章的我已经被自己所做的研究给吓傻了。他要我装入一个被称作是“密码钱包”的软件,比如LastPass或1Password。这些软件能将你所访问的每一个网站生成一组高度随机的密码,并用一个主密码将它们保存起来。我装上了LastPass之后,通过它选了一个非常长的序列,包含英文单词和数字。比方说现在我已经完全不知道、以后也不会知道我的邮箱密码是什么,但这不要紧,因为LastPass随时都能把密码告诉我。
虽然是流水已去不再回来,真怀念童年那个纯真的小孩儿……