密碼和它的替代品

科學家克利福德·斯托爾有一個非常著名的安全提示：“像對待自己的牙刷一樣保護密碼，不要讓任何人觸碰它，并且每6個月就將它更換一次。”這個提示看似非常有道理，可執(zhí)行性也很強，但是卻已經(jīng)不那么適合千變?nèi)f化的網(wǎng)絡(luò)世界了。現(xiàn)如今數(shù)以億計的網(wǎng)上銀行、網(wǎng)絡(luò)站點和Web服務(wù)以及移動設(shè)備都使用密碼作為最主要的驗證手段。但是這些密碼并不像牙刷一樣躺在家中，它們同時還存儲在服務(wù)商的服務(wù)器上，而服務(wù)器受到黑客攻擊導(dǎo)致泄漏用戶賬戶信息的事情已經(jīng)不是什么新鮮事了。除此之外，保護密碼最基本的一點是，我們必須創(chuàng)建足夠強大的密碼，如果一個人使用類似“12345”或者“abcde”之類的密碼，那么攻擊者完全可以毫不費力地將它破解。

黑客像我們一樣聰明

很不幸，我們必須依靠密碼來使用各種Web服務(wù)，因為服務(wù)商不提供其他選擇。不過，如果大家知道一點黑客的招數(shù)，那么要創(chuàng)建一個安全且容易記住的密碼并不難。首先不要使用任何單詞，即使是使用“1”代替了單詞中的“a”或“i”、使用“3”代替了“e”，新一代破解密碼的字典攻擊也已經(jīng)可破譯這種簡單的替換方法，自動生成的密碼字典包括這種替換代碼在內(nèi)。其次，密碼不能太短，現(xiàn)如今的電腦計算能力超強，一個密碼無論如何復(fù)雜，如果它只有6位，那么使用強大的硬件設(shè)備，以暴力攻擊方法破解密碼，只需不到一分鐘的時間就可以成功。而最重要的是，我們絕對不能在多個地方使用同一個密碼，否則只要一個密碼泄露，其他賬戶也會受到影響。

如何解決在不同的地方使用不同的密碼而導(dǎo)致密碼過多難以記住的問題呢？PayPal的科學家馬庫斯·賈克博森為大家提供了一個簡單好用的密碼創(chuàng)建方法，就是使用一個主密碼，再結(jié)合一個根據(jù)特定頁面創(chuàng)建的密碼，如創(chuàng)建一個主密碼“Hc84#”，主密碼中不包含縮寫或者生日日期等任何有意義的內(nèi)容，然后在每一個網(wǎng)站上注冊時使用主密碼加上一個根據(jù)這個網(wǎng)站設(shè)計的密碼，這部分同樣不能夠包含網(wǎng)站的名稱、縮寫等會被猜到的內(nèi)容，例如Facebook，可以根據(jù)網(wǎng)站的主色調(diào)和名稱的字符個數(shù)設(shè)計出密碼“blue6”，或者再略做移位等技術(shù)處理，創(chuàng)建密碼“bl6ue”。馬庫斯·賈克博森認為，用戶只需記住主密碼，自己為網(wǎng)站創(chuàng)建的密碼只要記住創(chuàng)建的規(guī)則就可以了，而且必要時可以將這部分密碼寫下來，保存在公文包或者家中。

同樣的創(chuàng)意可以用于設(shè)計取回密碼的安全問題，這往往是網(wǎng)站注冊不可或缺的一部分。通常安全問題是類似“你最喜歡的顏色？”這樣的問題，如果我們喜歡的顏色是棗紅，我們的安全問題答案是“Claret”，那么很容易就會被有心人猜出來。而應(yīng)用馬庫斯·賈克博森的策略，我們填寫的最喜歡顏色的答案可以是“Ma+%Claret%”，同樣我們只需要記住真實答案以外的部分，就可以牢牢地記住這個答案。

部分網(wǎng)站支持填寫電子郵件地址作為密碼恢復(fù)的用途，我們最好能夠創(chuàng)建專門用于恢復(fù)密碼的郵箱。然后保護好這個電子郵箱賬戶，以便在最壞的情況下，通過它恢復(fù)其他網(wǎng)站的賬戶。電子郵件地址是我們數(shù)字身份的支撐點，是許多網(wǎng)站恢復(fù)密碼的途徑，保護電子郵箱的密碼是網(wǎng)絡(luò)安全的重中之重，在電子郵箱被控制的情況下，所有使用該郵箱注冊的網(wǎng)站賬戶都可能被輕易地接管。

電子郵件：更好的保護措施

非常難以理解為什么那么多的電子郵件服務(wù)提供商（包括GMX、微軟）不提供雙因素身份驗證，電子郵箱作為用戶數(shù)字身份的支撐點，僅憑密碼保護明顯過于脆弱。任何人只要知道密碼就可以接管郵箱，同時還接管了用戶其他的數(shù)字身份。目前，只有少數(shù)電子郵件服務(wù)提供商支持雙因素驗證，用戶在登錄時除了要驗證密碼以外，還需要提交一個8位數(shù)的數(shù)字代碼，此代碼可以通過預(yù)留的手機接收或者通過手機上的應(yīng)用程序產(chǎn)生。通過驗證之后，用戶可以授權(quán)在當前的設(shè)備上在較長一段時間內(nèi)無需重新驗證，避免每次登錄時要驗證兩次的煩惱。而修改賬戶密碼或者在任何其他設(shè)備上登錄的請求都將需要進行雙因素驗證，確保沒有人能夠僅憑密碼就接管用戶的郵箱。

雅虎和Google是為數(shù)不多的支持雙因素驗證的大型電子郵件服務(wù)提供商。要在Gmail中使用雙因素驗證，可以單擊個人頭像，選擇“賬戶”，在打開的頁面左側(cè)選擇“安全性”，在“兩步驗證”中選擇“設(shè)置”，轉(zhuǎn)至兩步驗證設(shè)置頁面后按照分步指南逐步完成設(shè)置。設(shè)置完成后將再次回到兩步驗證設(shè)置頁面，再次登錄將需要進行兩步驗證，手機將會收到一條包含驗證碼的短信。在其他支持雙因素驗證的網(wǎng)絡(luò)服務(wù)中，設(shè)置的方法基本上與Gmail大同小異，相關(guān)的設(shè)置通常可以在賬戶設(shè)置的安全選項中找到。

毫無疑問，兩次驗證使用起來不如以往方便，另外如果更換手機號碼，那么一定不要忘記修改兩步驗證的設(shè)置。如果希望更輕松地解決密碼記憶和管理的問題，則可以考慮使用LastPass之類的密碼管理軟件。LastPass使用256位加密技術(shù)在線存儲用戶記錄的密碼，通過該應(yīng)用支持的自動同步的瀏覽器插件與應(yīng)用程序，用戶能夠隨時隨地訪問自己記錄的密碼。如果需要，它甚至還能夠在用戶訪問網(wǎng)站時自動鍵入密碼。這樣做有兩個好處，一是我們只需要記住一個訪問LastPass的主密碼，不再需要記其他的密碼；二是鍵盤記錄器之類的木馬無法對我們造成威脅。風險則是，必須完全依賴服務(wù)商，同時訪問LastPass的主密碼如果被盜，那么所有記錄的密碼都將泄漏。

另一種比較好的方法是類似OpenID的第三方驗證服務(wù)，我們可以注冊一個普遍適用的個人身份，生成一個驗證身份的鏈接。在登錄一個支持該服務(wù)的網(wǎng)站時，提交鏈接即可完成身份驗證。這可以避免密碼驗證存在的相關(guān)安全隱患，但是前提條件是我們使用的Web服務(wù)支持OpenID，目前支持的網(wǎng)站仍然非常有限，特別是在中國，基本上很難行得通。