密碼和它的替代品

科學(xué)家克利福德·斯托爾有一個(gè)非常著名的安全提示：“像對待自己的牙刷一樣保護(hù)密碼，不要讓任何人觸碰它，并且每6個(gè)月就將它更換一次。”這個(gè)提示看似非常有道理，可執(zhí)行性也很強(qiáng)，但是卻已經(jīng)不那么適合千變?nèi)f化的網(wǎng)絡(luò)世界了。現(xiàn)如今數(shù)以億計(jì)的網(wǎng)上銀行、網(wǎng)絡(luò)站點(diǎn)和Web服務(wù)以及移動(dòng)設(shè)備都使用密碼作為最主要的驗(yàn)證手段。但是這些密碼并不像牙刷一樣躺在家中，它們同時(shí)還存儲在服務(wù)商的服務(wù)器上，而服務(wù)器受到黑客攻擊導(dǎo)致泄漏用戶賬戶信息的事情已經(jīng)不是什么新鮮事了。除此之外，保護(hù)密碼最基本的一點(diǎn)是，我們必須創(chuàng)建足夠強(qiáng)大的密碼，如果一個(gè)人使用類似“12345”或者“abcde”之類的密碼，那么攻擊者完全可以毫不費(fèi)力地將它破解。

黑客像我們一樣聰明

很不幸，我們必須依靠密碼來使用各種Web服務(wù)，因?yàn)榉?wù)商不提供其他選擇。不過，如果大家知道一點(diǎn)黑客的招數(shù)，那么要?jiǎng)?chuàng)建一個(gè)安全且容易記住的密碼并不難。首先不要使用任何單詞，即使是使用“1”代替了單詞中的“a”或“i”、使用“3”代替了“e”，新一代破解密碼的字典攻擊也已經(jīng)可破譯這種簡單的替換方法，自動(dòng)生成的密碼字典包括這種替換代碼在內(nèi)。其次，密碼不能太短，現(xiàn)如今的電腦計(jì)算能力超強(qiáng)，一個(gè)密碼無論如何復(fù)雜，如果它只有6位，那么使用強(qiáng)大的硬件設(shè)備，以暴力攻擊方法破解密碼，只需不到一分鐘的時(shí)間就可以成功。而最重要的是，我們絕對不能在多個(gè)地方使用同一個(gè)密碼，否則只要一個(gè)密碼泄露，其他賬戶也會(huì)受到影響。

如何解決在不同的地方使用不同的密碼而導(dǎo)致密碼過多難以記住的問題呢？PayPal的科學(xué)家馬庫斯·賈克博森為大家提供了一個(gè)簡單好用的密碼創(chuàng)建方法，就是使用一個(gè)主密碼，再結(jié)合一個(gè)根據(jù)特定頁面創(chuàng)建的密碼，如創(chuàng)建一個(gè)主密碼“Hc84#”，主密碼中不包含縮寫或者生日日期等任何有意義的內(nèi)容，然后在每一個(gè)網(wǎng)站上注冊時(shí)使用主密碼加上一個(gè)根據(jù)這個(gè)網(wǎng)站設(shè)計(jì)的密碼，這部分同樣不能夠包含網(wǎng)站的名稱、縮寫等會(huì)被猜到的內(nèi)容，例如Facebook，可以根據(jù)網(wǎng)站的主色調(diào)和名稱的字符個(gè)數(shù)設(shè)計(jì)出密碼“blue6”，或者再略做移位等技術(shù)處理，創(chuàng)建密碼“bl6ue”。馬庫斯·賈克博森認(rèn)為，用戶只需記住主密碼，自己為網(wǎng)站創(chuàng)建的密碼只要記住創(chuàng)建的規(guī)則就可以了，而且必要時(shí)可以將這部分密碼寫下來，保存在公文包或者家中。

同樣的創(chuàng)意可以用于設(shè)計(jì)取回密碼的安全問題，這往往是網(wǎng)站注冊不可或缺的一部分。通常安全問題是類似“你最喜歡的顏色？”這樣的問題，如果我們喜歡的顏色是棗紅，我們的安全問題答案是“Claret”，那么很容易就會(huì)被有心人猜出來。而應(yīng)用馬庫斯·賈克博森的策略，我們填寫的最喜歡顏色的答案可以是“Ma+%Claret%”，同樣我們只需要記住真實(shí)答案以外的部分，就可以牢牢地記住這個(gè)答案。

部分網(wǎng)站支持填寫電子郵件地址作為密碼恢復(fù)的用途，我們最好能夠創(chuàng)建專門用于恢復(fù)密碼的郵箱。然后保護(hù)好這個(gè)電子郵箱賬戶，以便在最壞的情況下，通過它恢復(fù)其他網(wǎng)站的賬戶。電子郵件地址是我們數(shù)字身份的支撐點(diǎn)，是許多網(wǎng)站恢復(fù)密碼的途徑，保護(hù)電子郵箱的密碼是網(wǎng)絡(luò)安全的重中之重，在電子郵箱被控制的情況下，所有使用該郵箱注冊的網(wǎng)站賬戶都可能被輕易地接管。

電子郵件：更好的保護(hù)措施

非常難以理解為什么那么多的電子郵件服務(wù)提供商（包括GMX、微軟）不提供雙因素身份驗(yàn)證，電子郵箱作為用戶數(shù)字身份的支撐點(diǎn)，僅憑密碼保護(hù)明顯過于脆弱。任何人只要知道密碼就可以接管郵箱，同時(shí)還接管了用戶其他的數(shù)字身份。目前，只有少數(shù)電子郵件服務(wù)提供商支持雙因素驗(yàn)證，用戶在登錄時(shí)除了要驗(yàn)證密碼以外，還需要提交一個(gè)8位數(shù)的數(shù)字代碼，此代碼可以通過預(yù)留的手機(jī)接收或者通過手機(jī)上的應(yīng)用程序產(chǎn)生。通過驗(yàn)證之后，用戶可以授權(quán)在當(dāng)前的設(shè)備上在較長一段時(shí)間內(nèi)無需重新驗(yàn)證，避免每次登錄時(shí)要驗(yàn)證兩次的煩惱。而修改賬戶密碼或者在任何其他設(shè)備上登錄的請求都將需要進(jìn)行雙因素驗(yàn)證，確保沒有人能夠僅憑密碼就接管用戶的郵箱。

雅虎和Google是為數(shù)不多的支持雙因素驗(yàn)證的大型電子郵件服務(wù)提供商。要在Gmail中使用雙因素驗(yàn)證，可以單擊個(gè)人頭像，選擇“賬戶”，在打開的頁面左側(cè)選擇“安全性”，在“兩步驗(yàn)證”中選擇“設(shè)置”，轉(zhuǎn)至兩步驗(yàn)證設(shè)置頁面后按照分步指南逐步完成設(shè)置。設(shè)置完成后將再次回到兩步驗(yàn)證設(shè)置頁面，再次登錄將需要進(jìn)行兩步驗(yàn)證，手機(jī)將會(huì)收到一條包含驗(yàn)證碼的短信。在其他支持雙因素驗(yàn)證的網(wǎng)絡(luò)服務(wù)中，設(shè)置的方法基本上與Gmail大同小異，相關(guān)的設(shè)置通常可以在賬戶設(shè)置的安全選項(xiàng)中找到。

毫無疑問，兩次驗(yàn)證使用起來不如以往方便，另外如果更換手機(jī)號碼，那么一定不要忘記修改兩步驗(yàn)證的設(shè)置。如果希望更輕松地解決密碼記憶和管理的問題，則可以考慮使用LastPass之類的密碼管理軟件。LastPass使用256位加密技術(shù)在線存儲用戶記錄的密碼，通過該應(yīng)用支持的自動(dòng)同步的瀏覽器插件與應(yīng)用程序，用戶能夠隨時(shí)隨地訪問自己記錄的密碼。如果需要，它甚至還能夠在用戶訪問網(wǎng)站時(shí)自動(dòng)鍵入密碼。這樣做有兩個(gè)好處，一是我們只需要記住一個(gè)訪問LastPass的主密碼，不再需要記其他的密碼；二是鍵盤記錄器之類的木馬無法對我們造成威脅。風(fēng)險(xiǎn)則是，必須完全依賴服務(wù)商，同時(shí)訪問LastPass的主密碼如果被盜，那么所有記錄的密碼都將泄漏。

另一種比較好的方法是類似OpenID的第三方驗(yàn)證服務(wù)，我們可以注冊一個(gè)普遍適用的個(gè)人身份，生成一個(gè)驗(yàn)證身份的鏈接。在登錄一個(gè)支持該服務(wù)的網(wǎng)站時(shí)，提交鏈接即可完成身份驗(yàn)證。這可以避免密碼驗(yàn)證存在的相關(guān)安全隱患，但是前提條件是我們使用的Web服務(wù)支持OpenID，目前支持的網(wǎng)站仍然非常有限，特別是在中國，基本上很難行得通。