[10-20 18:28:19] 来源:http://www.67xuexi.com 电脑常识 阅读:85599次
而且其实事实比这更糟。
因为密码太难记了,于是人们发明了“密码追回”,当中,安全问题就简单得连黑客都答得出来。这就是为什么2008年莎拉·佩林【注2】的个人邮箱会被黑客黑掉:入qin者把她的邮政编号和高中校名全给猜对了。账户追回的另一相关缺陷还导致《Wired》杂志【注3】作者马特·霍南(Mat Honan)在今年八月遭到了黑客的恶性袭击。几名黑客成功占用了他的谷歌账号,并以他的名义在Twitter上发表了种族歧视的言论,并远程清空了他手提电脑、手机以及iPad里的所有资料。后来其中一名黑客通过网络留言给霍南,告诉他,这一切之所以会发生,是因为亚马逊网站的客户服务热线很乐意提供了他信用卡账号的后四位,而在苹果的客户服务台,刚好就可以用这四位数重设他的苹果iCloud账户密码。
有一些网站会让你使用密码短语(passphrase),就是刚才说的“钓鱼鸵鸟”那种。可是大多网站都不会这么做。在这样的情况下,很多安全专家都认为,人们应该无视银行的规定把密码写下来。他们的逻辑其实很简单:因为你觉得记在纸上很不靠谱,你就会想个折中的办法,最后你就选择最不安全的密码。(同样的道理,有些人会建议、甚至要求你定期更改密码,可其实你要记的密码越多,就越会被逼着去选择简单一点的密码。)“我有68个不同的密码,”微软安全专家杰斯珀·约翰逊(Jesper Johansson)几年前在一次会议上说。“要是他们不准我写下来,你猜我会怎么做?我肯定都会把所有账号都设上同样的密码。”密码专家布鲁斯·施内尔(Bruce Schneier)也同样提倡人们把密码写下来。他指出,绝大多数人其实都能够妥善保管几张小纸片的安全。你的配偶或你的室友是否可信,这种安全问题你绝对有能力推测出来。可换做是俄国黑客集团是否会威胁到你的银行账户,你就很难预测。
我把这类见解告诉尼尔·艾肯(Neil Aitken),他是英国支付委员会的发言人(该委员会负责监督跨行转账系统与连接网络及其他事务)。他听了之后倒是显得十分镇定。他解释说,问题的关键在于欺诈法强迫银行客户必须执行一些义务。如果你只顾着保护自己的密码,此时如果有人盗走你账户里的金额,法律就会认定你“犯下严重疏失”,这样你的钱就很难再找回来。“你可以有一个世界上最难破译的密码,可如果你告诉了别人,那你就把这密码给毁了。”借此委员会强烈建议英国客户千万别把密码写下或把密码告诉给其他人。
两方都各持己见。这就是安全问题的麻烦之处:你必须得权衡利弊。越方便意味着越不安全;对远程攻击防得越紧就让狡猾的室友越有机会趁虚而入。你是愿意冒稍微大(虽然这很难量化)的危险在金钱上,还是让自己处于长年的密码攻击之中?这种问题有够复杂,就好像是在问你:“你最不喜欢的车子是什么?”
比尔·切斯维克(Bill Cheswick,朋友都称他为切斯Ches)和很多人一样,坚信我们这个社会正在沦入密码的混沌之中。与其他人不同的是,他觉得自己得为此负一部分责任。1994年,作为AT&T的虚拟究部——贝尔实验室(Bell Labs)的成员之一,他参与合作撰写了一本书。书名耐人寻味:“防火墙与网络安全:击退狡猾的黑客”。(他曾提出“代理服务器”这一概念,这也因此成为他在互联网圈子里被称为“半人半神”的原因之一。)这本书为现代网络安全奠定了基础。可是现在,他说道,当我们大家在曼哈顿咖啡馆见面上网的时候,密码就成了“一根倒刺!谁能通晓那么多事情?”这个话题总能让切斯维克活跃起来,虽然他平时就是个滔滔不绝热情洋溢的家伙,可这次他还是会让对桌的人们从自己的笔记本里抬起头看他。“还有那么多规定!你还得混合符号啊,大小写啊,数字啊……”
切斯把这些规定称作是“蝾螈眼”,因为他们就像魔药的配方一样。偶尔在发表演讲的时候他太得意忘形了,也会把这些规定称作是“密码界的法西斯”。“我有25个不同的账号,难道我就要去记25个不同的‘蝾螈眼’密码?这不科学啊!”
除此之外,他还提到,把精力都集中在密码的复杂化,这也变得越来越无关紧要,因为现在更加严峻的威胁是键盘记录器——一个秘密安装在你电脑里的软件,可以通过网络监视你所按下的键盘按键。“不管你的密码设得有多高明,只要我在监视着你的键盘,你就死定了,”他说道。如果想降低风险,你可以改用Mac,或将不安全的Windows XP系统升级为Windows 7,并装上反病毒软件。但真正最保险的方法是永远不要访问那些携带恶意软件的网站。而且,“如果你的孙儿跑来玩你电脑,或者你读初中的儿子输入一个不安全的网址,那你就完了。”同样危险的还有“网络钓鱼”攻击,很多媒体都炒作过,就是把一封邮件或网址包装得很和谐,比如把它伪装成你银行的登陆网页,以此骗你输入密码。(反“钓鱼”最基本的方法就是要检查你浏览器的地址栏;将鼠标悬停在链接上,确保该链接的真实性;而且千万别在邮件的回复中填入密码发回去。)
也许有一天,我们不用在操心这些事情,也许以后会有革新发展能够彻底将密码代替。也许可以利用触屏技术,借此检测你与电脑互动间最细微的差别——你手指间的距离,你点击与拖动触屏时的速度。此外,新泽西罗格斯大学的技术人员已经做出一个指环的样本,你将它戴在手指上,它就会爆出微小的电流,通过用户的皮肤发射到屏幕上,以确认用户的身份。指纹识别系统已被嵌入在部分手提电脑中,但由于该技术仍存在太多问题,目前尚未得到重视,但它还是可以被改善的。可你别急着松口气。在可预知的未来里,“密码仍不会消失”,切斯维克说道。“尽管我很希望密码能够消失,可它们毕竟还是太方便了。”
与此同时,他还建议我做一件事,尽管为了完成这篇文章的我已经被自己所做的研究给吓傻了。他要我装入一个被称作是“密码钱包” 的软件,比如 LastPass 或 1Password。这些软件能将你所访问的每一个网站生成一组高度随机的密码,并用一个主密码将它们保存起来。我装上了 LastPass 之后,通过它选了一个非常长的序列,包含英文单词和数字。比方说现在我已经完全不知道、以后也不会知道我的邮箱密码是什么,但这不要紧,因为 LastPass 随时都能把密码告诉我。