密碼失憶癥

西林·卡萊 三四郎/編譯

密碼帝國(guó)

現(xiàn)代生活蘊(yùn)含著一組雷打不動(dòng)的機(jī)械行為——將你過世寵物的名字輸入各類網(wǎng)站的密碼欄中，每周三次，風(fēng)雨無(wú)阻。接著，網(wǎng)站溫馨提示您“密碼輸入錯(cuò)誤”。打電話給客服人員，聽到無(wú)休無(wú)止的廣告和瑣碎復(fù)雜的菜單。現(xiàn)代人就是這樣丟掉小命的。我們的祖先壽命短，野蠻粗魯，要不死于難產(chǎn)，要不血染沙場(chǎng)，但至少他們不用記密碼，這很關(guān)鍵。

“密碼暴政”在我們的現(xiàn)代生活中開辟了一塊殖民地。這些“小獨(dú)裁者”們拒絕我們?cè)L問自己的銀行賬戶、寶寶相冊(cè)、手機(jī)卡合約信息乃至采暖系統(tǒng)。它們像細(xì)菌一樣不停繁殖，但你永遠(yuǎn)找不到與賬號(hào)匹配的那個(gè)。它們是我們男友、女友、孩子或?qū)櫸锏拿帧Ｒ晃蛔阒嵌嘀\、野心勃勃的夙敵或許在你讀這段話時(shí)已經(jīng)破解了你的密碼。

多數(shù)時(shí)候，記不住密碼僅僅惹人煩惱。但某些時(shí)候，密碼失憶癥甚至能左右人生。比如33歲的德籍程序員斯特凡·托馬斯，就因忘記密碼丟掉了價(jià)值2.2億美元的比特幣。他將此事公之于眾，引發(fā)了一場(chǎng)熱議。一筆屬于自己卻無(wú)法追回的巨額財(cái)富，得多讓人捶胸頓足、痛心疾首啊！

托馬斯在硬盤和U盤里保存了三份比特幣的密鑰副本。硬盤里的兩個(gè)因?yàn)檐浖率Я耍鳸盤那份是加密的，只有十次試密碼的機(jī)會(huì)，一旦用完就會(huì)永久加密，再也打不開。托馬斯還剩兩次機(jī)會(huì)，可他確實(shí)想不起來(lái)，“我躺了好幾周，盯著天花板，心灰意冷。腦子里冒出一點(diǎn)想法，就挺身而起，跑到電腦前嘗試，可都沒用，我只好繼續(xù)發(fā)呆。”托馬斯說(shuō)，“但現(xiàn)在的我非常感激那段日子。”因?yàn)樗罱K無(wú)法忍受，爬下了床，在科技領(lǐng)域穩(wěn)扎穩(wěn)打，開創(chuàng)了自己的區(qū)塊鏈公司Coil。

并非所有人都能從如此痛苦的打擊中走出來(lái)。“我就碰釘子了，”35歲的加密貨幣交易員詹姆斯·豪威爾斯說(shuō)，“他們居然都不肯和我談?wù)劇Ｒ幌氲侥切┍忍貛努F(xiàn)在的價(jià)值，我就覺得他們太蠢了。”“他們”指的是當(dāng)?shù)乩盥駡?chǎng)的所有者紐波特市議會(huì)。豪威爾斯不慎將一個(gè)硬盤扔進(jìn)了垃圾桶，里面含有他2009年“開采”到的比特幣的私鑰。如今，這些比特幣價(jià)值2.87億美元。他非常急切地想要挖開垃圾填埋場(chǎng)，以致承諾將比特幣價(jià)值的25%捐給當(dāng)?shù)卣３鲇趯?duì)成本的考慮，市議會(huì)八年以來(lái)多次拒絕他的申請(qǐng)。當(dāng)被問到“為何放不下”時(shí)，豪威爾斯可憐巴巴地說(shuō)：“我只是在請(qǐng)求一次找回自己東西的機(jī)會(huì)。它屬于我，但我愿意分享。只要它還在那里，就有機(jī)會(huì)。即使渺茫也得奮力一搏，否則如何釋懷？”

人類通病

我們遺失東西，忘記它們的存在，這是我們的本性，也是人之為人的原因。“失去的藝術(shù)不難掌握。”伊麗莎白·畢肖普在其詩(shī)歌《一種藝術(shù)》里如是寫道。生命是一個(gè)不斷與失去妥協(xié)的過程。我們乖乖聽從畢肖普的話，“每天都弄丟東西”：外套、書籍、背包、手機(jī)、朋友、金錢、愛人、執(zhí)行力……最后是我們自己。當(dāng)然還有密碼，每個(gè)人平均有近80個(gè)密碼，但可能一個(gè)也記不住。

科技公司成為了大量個(gè)人數(shù)據(jù)的“保管人”，在保護(hù)我們的同時(shí)從中牟利。多年來(lái)，我早已忘記自己的谷歌賬號(hào)密碼，后來(lái)我買了一部新手機(jī)，它竟然奇跡般地讓我重新登錄了谷歌。過去的我像肉凍一樣晾在谷歌相冊(cè)里。意識(shí)到谷歌對(duì)我生活的記憶力顯然高于我本人這點(diǎn)，我心中五味雜陳。

密碼冗長(zhǎng)乏味，人類不善于跟它打交道。“毫不夸張地說(shuō)，每年都有數(shù)十億密碼被破解。”密碼管理工具LastPass的員工杰拉爾德·博伊歇爾特說(shuō)，“這是人類的通病，每天都在發(fā)生。”谷歌和民調(diào)機(jī)構(gòu)“哈里斯”2019年進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，52%的人都有在不同賬戶使用同一密碼的糟糕習(xí)慣。

“最安全的密碼是隨機(jī)產(chǎn)生的。”卡內(nèi)基梅隆大學(xué)的密碼研究員洛麗·克拉諾說(shuō)，“但人們不擅長(zhǎng)生成和記住隨機(jī)密碼。”她說(shuō)，我們關(guān)于密碼的幾乎所有直觀判斷都是錯(cuò)誤的，“如果你實(shí)在記不住密碼，就寫在筆記本上，藏起來(lái)，我就不信黑客還能跑到你家里。”

根據(jù)高德納咨詢公司2017年發(fā)布的一項(xiàng)研究，互聯(lián)網(wǎng)公司服務(wù)熱線接到的電話中，有20%～50%是為了重置密碼。微軟公司的網(wǎng)絡(luò)安全專家仙·約翰說(shuō)：“這通常發(fā)生在一月的第一周或暑假后，人們度假回來(lái)就不記得密碼了。”

密碼揭示了人性的共通之處。“我們想法一致，會(huì)耍同樣的小聰明。”克拉諾說(shuō)，“很多人以為在鍵盤上敲出對(duì)角線創(chuàng)建密碼很機(jī)智，殊不知這早已被寫入黑客教程。”約翰曾經(jīng)玩過一個(gè)游戲，問朋友們五個(gè)問題，然后猜他們的密碼。“他們的父母、兄弟姐妹、孩子和寵物叫什么，他們的紀(jì)念日和生日在哪天，他們最喜歡的運(yùn)動(dòng)隊(duì)……”約翰說(shuō)，“我一般能猜中70%。”

我們不會(huì)讓家門大敞，但卻對(duì)密碼持放任態(tài)度，每天把數(shù)字賬戶暴露在網(wǎng)絡(luò)犯罪的危險(xiǎn)之中。黑客借助某人在網(wǎng)上分享過的信息，或與先前破解的密碼相匹配，就能黑進(jìn)他的賬號(hào)。當(dāng)下最為常用的是暴力破解軟件，它能嘗試黑客字典中數(shù)以千計(jì)的密碼，直到找到正確的那個(gè)。“你可以在十分鐘內(nèi)破解大多數(shù)八位密碼。”博伊歇爾特說(shuō)。世界經(jīng)濟(jì)論壇估計(jì)，網(wǎng)絡(luò)犯罪每分鐘給全球經(jīng)濟(jì)造成的損失高達(dá)290萬(wàn)美元，其中80%的攻擊都與密碼有關(guān)。

解決之道

對(duì)老人來(lái)說(shuō)，他們發(fā)現(xiàn)自己需要記住的密碼簡(jiǎn)直令人眼花繚亂。“媽媽耳朵不好，沒聽清電話銀行的驗(yàn)證問題。”阿納舒亞·戴維斯談到自己84歲的母親迪瑪，“她不記得密碼，所以輸錯(cuò)了。”她經(jīng)常得幫助年邁的父母重新登錄賬號(hào)。

去年，因?yàn)槊艽a輸入錯(cuò)誤次數(shù)過多，迪瑪?shù)碾娫掋y行賬號(hào)被鎖。戴維斯特地載著母親去了銀行解鎖。她沒有遷怒于銀行太過嚴(yán)格的安全協(xié)議，“沒辦法，到處都有人伺機(jī)偷點(diǎn)什么。”但戴維斯希望能有辦法讓事情變得更簡(jiǎn)單，“對(duì)于像我父母這樣的老年人來(lái)說(shuō)太不容易了，他們很難跟上節(jié)奏。”

密碼管理器可能是解決之道。“這些手機(jī)應(yīng)用和小型軟件幫你把不同的用戶名和對(duì)應(yīng)的密碼鎖在‘保險(xiǎn)柜里。”博伊歇爾特說(shuō)。而像LastPass一類的密碼管理器則為用戶的不同賬號(hào)隨機(jī)生成難以破解的密碼，并保存下來(lái)。“用戶只需記住主密碼就行，”博伊歇爾特說(shuō)，“其余事情交給管理器。”這相當(dāng)于家中記滿密碼的筆記本，只不過它是數(shù)字版的，而且安全系數(shù)高。

這一切的前提是主密碼攻不可破。LastPass建議最少12個(gè)字符，當(dāng)然越長(zhǎng)越好。一段絕佳的長(zhǎng)密碼由隨機(jī)的字母、數(shù)字和符號(hào)組成，能被你念出來(lái)——這意味著你可以記住——但與個(gè)人信息無(wú)關(guān)。LastPass不會(huì)將用戶的密碼集中存儲(chǔ)在PC端的某個(gè)地方，因此即使黑客黑進(jìn)了你的系統(tǒng)，他也很難找到正確的密碼。“用戶享用的是最高級(jí)別的安全服務(wù)。”博伊歇爾特說(shuō)。

但話又說(shuō)回來(lái)，如果連主密碼都不用記，或者以后再也不需要記任何密碼，那不是更好嗎？幸運(yùn)的是，這一天終將來(lái)臨。“我們正向無(wú)密碼的未來(lái)邁進(jìn)。”約翰說(shuō)，“要我說(shuō)，對(duì)于普通消費(fèi)者而言，兩到五年就可以告別密碼了。”

通向未來(lái)的鑰匙是生物識(shí)別技術(shù)。以色列網(wǎng)絡(luò)安全初創(chuàng)企業(yè)BioCatch開發(fā)的一款軟件可以分析和識(shí)別用戶移動(dòng)鼠標(biāo)的獨(dú)特方式，借此逮住那些冒充用戶的網(wǎng)絡(luò)罪犯。也有企業(yè)正在研發(fā)耳廓識(shí)別技術(shù)。另外，基于用戶拿手機(jī)的習(xí)慣，我們還能通過加速度傳感器來(lái)檢測(cè)手機(jī)狀態(tài)，以此識(shí)別用戶。“我們將迎來(lái)一系列生物識(shí)別技術(shù)，”克拉諾說(shuō)，“不僅是指紋，還包括聲音、步態(tài)，以及拿手機(jī)的方式。”

谷歌安全部門主管馬克·里舍表示，公司尚未開始研發(fā)替代指紋和面部識(shí)別的高科技軟件，“指紋識(shí)別技術(shù)性價(jià)比高且耐用，而耳廓和氣息識(shí)別太深?yuàn)W，還處在課題階段。隨著它們走入主流，我們希望可以進(jìn)行投資。”

生物特征數(shù)據(jù)植入我們?nèi)粘Ｉ畹年P(guān)鍵在于，這些數(shù)據(jù)永遠(yuǎn)都不離開設(shè)備本身。“確保它們待在手機(jī)和筆記本電腦里，不被分享，否則相當(dāng)于創(chuàng)建了一個(gè)極其敏感、被網(wǎng)絡(luò)罪犯覬覦的數(shù)據(jù)庫(kù)。”

或許再過不久，我們的生活將變得暢通無(wú)阻，不再被密碼束縛。但在這一天來(lái)臨之前，我們還是得辛勤勞作，緊鎖眉頭、滿懷希望地敲打著鍵盤，因?yàn)椴煌ｉW爍的電腦屏幕上寫著“密碼錯(cuò)誤，拒絕訪問”。

[編譯自英國(guó)《衛(wèi)報(bào)周刊》]

編輯：要媛