網(wǎng)絡(luò)安全 網(wǎng)絡(luò)密碼怎么選?
2015年最糟糕密碼排行:“123456”位居榜首
根據(jù)德國(guó)波茨坦大學(xué)哈索·普拉特納研究院最新研究報(bào)告,“123456”依然是使用最廣的密碼,換言之也可以認(rèn)為是最糟糕的密碼??蒲腥藛T收集和整理已經(jīng)在網(wǎng)絡(luò)上曝光的密碼,目前共統(tǒng)計(jì)收集215,185,959個(gè),其中其中2015年參考密碼數(shù)量超過(guò)3500萬(wàn)個(gè)。通過(guò)大數(shù)據(jù)顯示至少有10%的密碼使用“123456”,隨后是“123456789”和“12345678”,占比分別為3.5%和1.9%。密碼“password”和“qwerty”位居前五,占比分別為1.85%和0.95%。
除了密碼,科研人員根據(jù)網(wǎng)絡(luò)上公開(kāi)的數(shù)據(jù)還對(duì)郵件地址進(jìn)行了統(tǒng)計(jì)分析,顯示有超過(guò)4000萬(wàn)用戶使用Hotmail.com,超過(guò)3650萬(wàn)用戶使用Gmail,超過(guò)249萬(wàn)用戶使用雅虎郵箱。
網(wǎng)絡(luò)密碼:越復(fù)雜越好?
這幅文字云圖像顯示的是人們最常用的密碼,其中字體越大其使用率越高。本圖初發(fā)表于“信息周刊”下“BYTE”的《密碼管理前五名》一文,作者Dazzlepod。揭露計(jì)劃: dazzlepod.com/disclosure/。
斗膽讓我猜猜:你上網(wǎng)用的所有密碼——網(wǎng)上銀行、郵箱、網(wǎng)購(gòu)、微博人人網(wǎng)的登陸密碼——在你腦子里是亂七八糟。你也非常清楚,訪問(wèn)不同的網(wǎng)站,必須選擇一串不一樣的、排序復(fù)雜的字母、數(shù)字和符號(hào)做密碼,然后把它背下來(lái)。(先人的智慧教導(dǎo)我們密碼守則第一條:絕對(duì)絕對(duì)不能把密碼寫(xiě)下來(lái)。)可是你不會(huì)真這么做,因?yàn)槟阒雷约旱哪X子沒(méi)有這種能力。于是你選擇用熟悉的單詞來(lái)注冊(cè)每一個(gè)網(wǎng)站:比如自家狗狗、你家那條街的名字,再加幾個(gè)臨時(shí)想到的排列,比如“123”作為結(jié)尾。也有可能你真的遵守了那條守則,也因此在登陸銀行賬號(hào)的時(shí)候常常被鎖起來(lái),或不?;貞浉鞣N荒謬的安全問(wèn)題的答案。(“你小時(shí)候最喜歡的運(yùn)動(dòng)是什么?”我現(xiàn)在就被問(wèn)到這一題,可是我小時(shí)候最喜歡做的“運(yùn)動(dòng)”就是想方設(shè)法翹掉體育課。iTunes商店還有一個(gè)問(wèn)題是問(wèn)客戶他們“最不喜歡的車(chē)子”是什么。)最可怕的是,最近幾年,你還會(huì)被逼著設(shè)一個(gè)字母混合大小寫(xiě)的密碼,可有哪一個(gè)正常人能記得起如此多重組合的排列呢?至少那個(gè)人肯定不會(huì)是你。
如果你覺(jué)得自己設(shè)的密碼太差勁了,我有個(gè)理由能讓你不那么愧疚:這樣的爛密碼是普遍存在的。上個(gè)月,PIN密碼泄露事件的分析報(bào)告顯示,大概有十分之一的人會(huì)選擇“1234”做密碼;而最近雅虎網(wǎng)安全漏洞事件也讓我們發(fā)現(xiàn),有上千名用戶設(shè)置的密碼要么是“password(密碼)”“welcome(歡迎)”“123456”要么就是“ninja(忍者)”。人們總是會(huì)設(shè)一些爛到不行的密碼,甚至拿它去保護(hù)一些比自己的存款還重要的東西。軍事安全專(zhuān)家們大都知道,在冷戰(zhàn)高峰時(shí)期,美國(guó)核彈的“解鎖密碼”竟然是00000000。五年前《新聞之夜》亦曾揭露:1997年以前,英國(guó)部分核彈的鑰匙鎖,其本質(zhì)就是一個(gè)自行車(chē)的車(chē)鎖。至于怎么選擇讓彈頭在空中還是地面爆炸,只要用宜家的內(nèi)六角扳手(Allen key)就可以搞定。而這些根本就不是密碼。遇到敵方攻擊的時(shí)候,快速反擊比其他什么都重要。
我們的密碼處在危險(xiǎn)之中,而這也成了邪惡的黑客和“掛羊頭”的安全測(cè)試人員一場(chǎng)又一場(chǎng)“軍備比賽”??墒悄阒灰切﹥?nèi)行人聊聊,就知道先人的智慧其實(shí)也是值得商榷的。舉個(gè)反例:把密碼記下來(lái)可能才是一個(gè)好主意。有些老板會(huì)命令員工90天更換一次密碼,這可能并不是在提高安全性,反而是給自己惹麻煩。同樣的事情也發(fā)生在一些銀行的密碼設(shè)置規(guī)范上:密碼不能超過(guò)12個(gè)字符,不允許使用空格鍵,等等。而在所有規(guī)定之中隱藏的真相是:密碼——作為保護(hù)人們?cè)诨ヂ?lián)網(wǎng)上的私人資料的途徑,最后卻在根本上被違背了它的本職。我曾向一個(gè)經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全研究員比爾·切斯維克(Bill Cheswick)指教,問(wèn)他有沒(méi)有辦法能一勞永逸地解決這一問(wèn)題。他想了一會(huì)兒,提議道:“就把你的電腦燒掉,然后滾海邊玩兒去?!北M管你的腦子可能已經(jīng)亂得不行,但還是有既安全又不會(huì)失去理智的方法。只不過(guò)這種方法跟以前別人教你的不大一樣。
密碼破解手法形式多樣,然而當(dāng)中最重要的反而不是靠邪門(mén)歪道,而是靠蠻力強(qiáng)行攻擊。舉一個(gè)例子:有一個(gè)黑客,他潛入一家公司的服務(wù)器,準(zhǔn)備偷取一份文件,文件上記有上百萬(wàn)條密令。這份文件(但愿)是被加密的,因此他不可能直接登入這個(gè)賬號(hào)。假設(shè)文件里的密令是“hello”(當(dāng)然沒(méi)那么簡(jiǎn)單),在文件中它就會(huì)被加密為類(lèi)似“$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90”的字符。他不可能隨隨便便就把這行亂碼解開(kāi),因?yàn)樗牢募潜弧皢蜗蚣用堋钡摹6茏龅?,僅是將所有上百萬(wàn)種可能性加入同一個(gè)加密算法進(jìn)行測(cè)試,直到其中一個(gè)密碼剛好中獎(jiǎng),得出的結(jié)果與那一連串的亂碼相符合。只有這樣他才知道自己找到了那個(gè)密碼。(有一種附加的加密技術(shù)被稱(chēng)作“salting”,它可以阻擋這種攻擊,但現(xiàn)在尚不清楚有多少公司真的使用了這項(xiàng)技術(shù)。)
這時(shí),密碼長(zhǎng)度所能產(chǎn)生的你無(wú)法想象的作用。假設(shè)有一個(gè)黑客的電腦每秒鐘能猜測(cè)1000種五位純字母、完全隨機(jī)、全部小寫(xiě)的密碼組合,比如“fpqzy”,那最多需要3小時(shí)45分就能破解成功?,F(xiàn)在只要把密碼設(shè)成20位,破解的時(shí)間自然就會(huì)增加一點(diǎn):要花650萬(wàn)兆年的時(shí)間。
現(xiàn)在就有一個(gè)人為預(yù)測(cè)的問(wèn)題。畢竟沒(méi)有人能想出一個(gè)字母與數(shù)字完全隨機(jī)的排列組合。相反,人們會(huì)遵循一些自然規(guī)則,比如用一些已經(jīng)存在的單詞,然后將字母O用數(shù)字0代替,或者在姓氏后面跟上一個(gè)年份。黑客們也知道這一點(diǎn),所以他們的破解軟件會(huì)綜合這些規(guī)則進(jìn)行猜測(cè),從而有效減少時(shí)間,快速猜中目標(biāo)。每次,在一百萬(wàn)條密碼中都能出現(xiàn)一個(gè)新的漏洞,這就像2010年的Gawker事件和今年的雅虎事件【注1】一樣,而每次黑客們都能借此有效學(xué)到人們?cè)O(shè)置密碼的新知識(shí),也使得他們破解密碼更加輕而易舉。你可能以為自己夠聰明,能想到一個(gè)絕佳的方法設(shè)置密碼,其實(shí)黑客們?cè)缫咽祜谛亍?br/>
所以說(shuō),最不可能破解的密碼就是一長(zhǎng)串完全隨機(jī)的字母、數(shù)字、空格和符號(hào),可真要這么設(shè)你就背不下來(lái)了。不過(guò),既然長(zhǎng)度這么很重要,你會(huì)發(fā)現(xiàn)一個(gè)驚人的事實(shí):一長(zhǎng)串無(wú)規(guī)則的英文單詞,且全用小寫(xiě)——比方說(shuō)“awoken wheels angling ostrich(吵醒的、輪胎、釣魚(yú)、鴕鳥(niǎo))”就比已經(jīng)很短小、還遵循銀行那些煩人規(guī)定的密碼(像M@nch3st3r)要安全得多。而且這樣的密碼還更好記,因?yàn)槟阍谟洃浿幸呀?jīng)建立了一個(gè)畫(huà)面:有一群吵鬧的輪胎吵醒了一只在河邊釣魚(yú)的鴕鳥(niǎo),不是嗎?正如熱門(mén)的宅向漫畫(huà)《XKCD》去年發(fā)布的一期漫畫(huà)就很清楚地指明了這一論點(diǎn):“經(jīng)過(guò)了20年的努力,我們成功地讓每一個(gè)人練就一副‘密碼設(shè)得是人都記不下來(lái)、是電腦都猜得出來(lái)’的好功夫?!?br/>
而且其實(shí)事實(shí)比這更糟。因?yàn)槊艽a太難記了,于是人們發(fā)明了“密碼追回”,當(dāng)中,安全問(wèn)題就簡(jiǎn)單得連黑客都答得出來(lái)。這就是為什么2008年莎拉·佩林【注2】的個(gè)人郵箱會(huì)被黑客黑掉:入侵者把她的郵政編號(hào)和高中校名全給猜對(duì)了。賬戶追回的另一相關(guān)缺陷還導(dǎo)致《Wired》雜志【注3】作者馬特·霍南(Mat Honan)在今年八月遭到了黑客的惡性襲擊。幾名黑客成功占用了他的谷歌賬號(hào),并以他的名義在Twitter上發(fā)表了種族歧視的言論,并遠(yuǎn)程清空了他手提電腦、手機(jī)以及iPad里的所有資料。后來(lái)其中一名黑客通過(guò)網(wǎng)絡(luò)留言給霍南,告訴他,這一切之所以會(huì)發(fā)生,是因?yàn)閬嗰R遜網(wǎng)站的客戶服務(wù)熱線很樂(lè)意提供了他信用卡賬號(hào)的后四位,而在蘋(píng)果的客戶服務(wù)臺(tái),剛好就可以用這四位數(shù)重設(shè)他的蘋(píng)果iCloud賬戶密碼。
有一些網(wǎng)站會(huì)讓你使用密碼短語(yǔ)(passphrase),就是剛才說(shuō)的“釣魚(yú)鴕鳥(niǎo)”那種??墒谴蠖嗑W(wǎng)站都不會(huì)這么做。在這樣的情況下,很多安全專(zhuān)家都認(rèn)為,人們應(yīng)該無(wú)視銀行的規(guī)定把密碼寫(xiě)下來(lái)。他們的邏輯其實(shí)很簡(jiǎn)單:因?yàn)槟阌X(jué)得記在紙上很不靠譜,你就會(huì)想個(gè)折中的辦法,最后你就選擇最不安全的密碼。(同樣的道理,有些人會(huì)建議、甚至要求你定期更改密碼,可其實(shí)你要記的密碼越多,就越會(huì)被逼著去選擇簡(jiǎn)單一點(diǎn)的密碼。)“我有68個(gè)不同的密碼,”微軟安全專(zhuān)家杰斯珀·約翰遜(Jesper Johansson)幾年前在一次會(huì)議上說(shuō)?!耙撬麄儾粶?zhǔn)我寫(xiě)下來(lái),你猜我會(huì)怎么做?我肯定都會(huì)把所有賬號(hào)都設(shè)上同樣的密碼?!泵艽a專(zhuān)家布魯斯·施內(nèi)爾(Bruce Schneier)也同樣提倡人們把密碼寫(xiě)下來(lái)。他指出,絕大多數(shù)人其實(shí)都能夠妥善保管幾張小紙片的安全。你的配偶或你的室友是否可信,這種安全問(wèn)題你絕對(duì)有能力推測(cè)出來(lái)。可換做是俄國(guó)黑客集團(tuán)是否會(huì)威脅到你的銀行賬戶,你就很難預(yù)測(cè)。
我把這類(lèi)見(jiàn)解告訴尼爾·艾肯(Neil Aitken),他是英國(guó)支付委員會(huì)的發(fā)言人(該委員會(huì)負(fù)責(zé)監(jiān)督跨行轉(zhuǎn)賬系統(tǒng)與連接網(wǎng)絡(luò)及其他事務(wù))。他聽(tīng)了之后倒是顯得十分鎮(zhèn)定。他解釋說(shuō),問(wèn)題的關(guān)鍵在于欺詐法強(qiáng)迫銀行客戶必須執(zhí)行一些義務(wù)。如果你只顧著保護(hù)自己的密碼,此時(shí)如果有人盜走你賬戶里的金額,法律就會(huì)認(rèn)定你“犯下嚴(yán)重疏失”,這樣你的錢(qián)就很難再找回來(lái)?!澳憧梢杂幸粋€(gè)世界上最難破譯的密碼,可如果你告訴了別人,那你就把這密碼給毀了。”借此委員會(huì)強(qiáng)烈建議英國(guó)客戶千萬(wàn)別把密碼寫(xiě)下或把密碼告訴給其他人。
兩方都各持己見(jiàn)。這就是安全問(wèn)題的麻煩之處:你必須得權(quán)衡利弊。越方便意味著越不安全;對(duì)遠(yuǎn)程攻擊防得越緊就讓狡猾的室友越有機(jī)會(huì)趁虛而入。你是愿意冒稍微大(雖然這很難量化)的危險(xiǎn)在金錢(qián)上,還是讓自己處于長(zhǎng)年的密碼攻擊之中?這種問(wèn)題有夠復(fù)雜,就好像是在問(wèn)你:“你最不喜歡的車(chē)子是什么?”
比爾·切斯維克(Bill Cheswick,朋友都稱(chēng)他為切斯Ches)和很多人一樣,堅(jiān)信我們這個(gè)社會(huì)正在淪入密碼的混沌之中。與其他人不同的是,他覺(jué)得自己得為此負(fù)一部分責(zé)任。1994年,作為AT&T的虛擬究部——貝爾實(shí)驗(yàn)室(Bell Labs)的成員之一,他參與合作撰寫(xiě)了一本書(shū)。書(shū)名耐人尋味:“防火墻與網(wǎng)絡(luò)安全:擊退狡猾的黑客”。(他曾提出“代理服務(wù)器”這一概念,這也因此成為他在互聯(lián)網(wǎng)圈子里被稱(chēng)為“半人半神”的原因之一。)這本書(shū)為現(xiàn)代網(wǎng)絡(luò)安全奠定了基礎(chǔ)??墒乾F(xiàn)在,他說(shuō)道,當(dāng)我們大家在曼哈頓咖啡館見(jiàn)面上網(wǎng)的時(shí)候,密碼就成了“一根倒刺!誰(shuí)能通曉那么多事情?”這個(gè)話題總能讓切斯維克活躍起來(lái),雖然他平時(shí)就是個(gè)滔滔不絕熱情洋溢的家伙,可這次他還是會(huì)讓對(duì)桌的人們從自己的筆記本里抬起頭看他?!斑€有那么多規(guī)定!你還得混合符號(hào)啊,大小寫(xiě)啊,數(shù)字啊……”
切斯把這些規(guī)定稱(chēng)作是“蠑螈眼”,因?yàn)樗麄兙拖衲幍呐浞揭粯?。偶爾在發(fā)表演講的時(shí)候他太得意忘形了,也會(huì)把這些規(guī)定稱(chēng)作是“密碼界的法西斯”?!拔矣?5個(gè)不同的賬號(hào),難道我就要去記25個(gè)不同的‘蠑螈眼’密碼?這不科學(xué)?。 ?br/>
除此之外,他還提到,把精力都集中在密碼的復(fù)雜化,這也變得越來(lái)越無(wú)關(guān)緊要,因?yàn)楝F(xiàn)在更加嚴(yán)峻的威脅是鍵盤(pán)記錄器——一個(gè)秘密安裝在你電腦里的軟件,可以通過(guò)網(wǎng)絡(luò)監(jiān)視你所按下的鍵盤(pán)按鍵?!安还苣愕拿艽a設(shè)得有多高明,只要我在監(jiān)視著你的鍵盤(pán),你就死定了,”他說(shuō)道。如果想降低風(fēng)險(xiǎn),你可以改用Mac,或?qū)⒉话踩腤indows XP系統(tǒng)升級(jí)為Windows 7,并裝上反病毒軟件。但真正最保險(xiǎn)的方法是永遠(yuǎn)不要訪問(wèn)那些攜帶惡意軟件的網(wǎng)站。而且,“如果你的孫兒跑來(lái)玩你電腦,或者你讀初中的兒子輸入一個(gè)不安全的網(wǎng)址,那你就完了。”同樣危險(xiǎn)的還有“網(wǎng)絡(luò)釣魚(yú)”攻擊,很多媒體都炒作過(guò),就是把一封郵件或網(wǎng)址包裝得很和諧,比如把它偽裝成你銀行的登陸網(wǎng)頁(yè),以此騙你輸入密碼。(反“釣魚(yú)”最基本的方法就是要檢查你瀏覽器的地址欄;將鼠標(biāo)懸停在鏈接上,確保該鏈接的真實(shí)性;而且千萬(wàn)別在郵件的回復(fù)中填入密碼發(fā)回去。)
也許有一天,我們不用在操心這些事情,也許以后會(huì)有革新發(fā)展能夠徹底將密碼代替。也許可以利用觸屏技術(shù),借此檢測(cè)你與電腦互動(dòng)間最細(xì)微的差別——你手指間的距離,你點(diǎn)擊與拖動(dòng)觸屏?xí)r的速度。此外,新澤西羅格斯大學(xué)的技術(shù)人員已經(jīng)做出一個(gè)指環(huán)的樣本,你將它戴在手指上,它就會(huì)爆出微小的電流,通過(guò)用戶的皮膚發(fā)射到屏幕上,以確認(rèn)用戶的身份。指紋識(shí)別系統(tǒng)已被嵌入在部分手提電腦中,但由于該技術(shù)仍存在太多問(wèn)題,目前尚未得到重視,但它還是可以被改善的。可你別急著松口氣。在可預(yù)知的未來(lái)里,“密碼仍不會(huì)消失”,切斯維克說(shuō)道?!氨M管我很希望密碼能夠消失,可它們畢竟還是太方便了?!?br/>
與此同時(shí),他還建議我做一件事,盡管為了完成這篇文章的我已經(jīng)被自己所做的研究給嚇傻了。他要我裝入一個(gè)被稱(chēng)作是“密碼錢(qián)包”的軟件,比如 LastPass 或 1Password。這些軟件能將你所訪問(wèn)的每一個(gè)網(wǎng)站生成一組高度隨機(jī)的密碼,并用一個(gè)主密碼將它們保存起來(lái)。我裝上了 LastPass 之后,通過(guò)它選了一個(gè)非常長(zhǎng)的序列,包含英文單詞和數(shù)字。比方說(shuō)現(xiàn)在我已經(jīng)完全不知道、以后也不會(huì)知道我的郵箱密碼是什么,但這不要緊,因?yàn)?LastPass 隨時(shí)都能把密碼告訴我。
這當(dāng)然不是十全十美的解決方法。但 LastPass 幾乎在很多問(wèn)題層面上都是安全的。因?yàn)樗辉谟脩糇约旱碾娔X上進(jìn)行加密與解密,而軟件公司也不會(huì)知道我的主密碼,這就意味著要是我忘了主密碼,就沒(méi)人能幫得了我了。(也沒(méi)有需要設(shè)置安全問(wèn)題的“密碼追回”。)而且——沒(méi)錯(cuò)——我把它寫(xiě)下來(lái)了,以加密的形式記在一張小紙片上,還很小心地把它藏了起來(lái)。希望我能很快把密碼記下來(lái)。畢竟沒(méi)有什么是絕對(duì)安全的,更別說(shuō)絕對(duì)安全又絕對(duì)方便的方法更不可能存在,但我覺(jué)得這是個(gè)很折中可行的辦法。但愿我不會(huì)忘了自己把紙條藏在哪兒了。
【注1】Gawker是著名的明星追蹤網(wǎng)站。Gawker與雅虎網(wǎng)都曾爆出存在安全漏洞。
【注2】Sarah Palin,長(zhǎng)期活躍于美國(guó)政界,2008年由共和黨提名總統(tǒng)候選人麥凱恩選為副總統(tǒng)人選,搭檔參選總統(tǒng)大選。
【注3】Wired是一本在全球范圍內(nèi)有很有名的科技雜志。