我們真的需要自己都記不住的密碼嗎？

2004年比爾•蓋茨公開宣稱說這個世界將不再需要密碼；然而現在微軟研究院的一份報告卻表示，密碼或許永遠不會消失，它有用著呢。圖片：Eric E. Castro/Flickr 想一個單詞。一個密碼。它至少要有八個字節的長度，但不超過12字節。任何字節都不能重複超過兩次。確保它至少包含一個字母，一個數字。事實上，它還必須以數字開頭。你不能使用任何以前用過的用戶名或密碼。最後，在你的密碼中必須使用以下字符中的一個：~!@#$%^&*()_+={}[]|;:/?.,。 而且讓你能夠記住這個密碼。你無需把它寫下來，但當你之後再來到這個網站時你可能會用上它。 是不是感到很困惑？安全專家告訴我們說我們的密碼要很難被猜出來，但有這麼一小撮“別有用心”的網站卻迫使我們想出一個根本不可能猜得到（或記住）的密碼。 上述的要求來自於一家真實的網站。這個傑作出自於美國海關與邊境保護署的一群安全怪才們，針對的是那些想要在線申請該機構“受信任旅客項目”的人，這樣可以使他們省去入境時排長長的隊伍的麻煩。 對於研究人員柯麥科•赫利（Cormac Herley）和C•保羅•範奧斯浩特（Paul C. van Ooschot）來說，計算機行業無休止地強迫我們加強我們的密碼是受到誤導的——比起它帶來的好處，要花費的工作太多。“對用戶來說，安全只是次要任務。而很多網站和供應商卻以為用戶有閒工夫花在……額外的事情上。”渥太華卡爾頓大學計算機科學教授範奧斯浩特說道。 在一份新的研究文章中，範奧斯浩特和一名微軟研究人員赫利表示，當那些IT專家不停地提醒我們密碼安全時他們是在幫倒忙，原因是增強密碼的建議通常忽略了真正恐怖有效的攻擊。“用戶們天天聽到關於選擇強密碼的建議，但他們了解到的關於網絡欺詐的建議就要少很多了。”他們在文章中如此寫道，“對於那些用鍵盤登陸的用戶來說，沒有什麼比運行反病毒軟件，打好軟件補丁更重要的了。” 簡而言之，用戶喜歡的是簡單的答案，而非那些他們“不得不聽”的信息。 世界首次數據洩露？ 密碼洩露問題早在上世紀60年代就出現了。但首次有記錄的密碼洩露事件發生在1966年，問題出在傳奇般的麻省理工學院的兼容分時系統（CTSS）上。CTSS是IBM公司生產的7094型主機，可以進行一種新型的多用戶交互式編程。在CTSS造出來的那個年代，電腦運行程序是整個運行，並且即刻執行每個步驟，但CTSS允許多位用戶同時登陸並編寫程序。為了管理多個用戶，密碼就誕生了。 一天，一個軟件bug出現了：當用戶登錄時本該顯示歡迎界面，但此時卻顯示出了整個密碼文檔。“任何登陸的用戶都會發現，原本應該顯示每日信息的地方顯示的卻是整個用戶密碼文檔。”CTSS項目的領導人費爾南多•J•卡波特（Fernando J. Corbató）回憶25年前的這次事件時說道，“這個情況持續了15到20分鐘，直到一名特別認真的用戶將之報告給系統管理員。” 這之後每個人的密碼都必須重設。當然了，這個故障發生在周五晚上五點，一個通常發生技術故障的時刻。 這次事件被1979年一份很有影響力的關於密碼安全的論文所引用，作者為Unix重量級人物羅伯特•莫里斯（Robert Morris）和肯•湯姆遜（Ken Thompson）。在這篇論文中，他們將這次事件稱為“關鍵詞搜索”攻擊——攻擊者不斷地嘗試不同的密碼，直至有一個成功。現在我們把這種攻擊叫做“暴力破解”攻擊，特別是在現代強大的微處理器的幫助下，這種做法行之有效。一台現代的電腦​​能很輕鬆的生成數以億計的密碼組合併不斷嘗試，直到碰到一個正確的。而這種攻擊正是你那種冗長、複雜、難以記憶的密碼所要面對的挑戰。 但對於網站來說，還有更簡單的方法。攻擊者可以生成一個相似的頁面，或者迫使用戶在一系列失敗的登陸後等上幾分鐘。這種登陸破解方法比暴力破解更能有效地對付網頁的登陸頁面。 這種方法看起來很有效。對於那些訪問量極大的網站——包括那些被詐騙犯一直盯住的網站——允許你為你的賬戶設置十分簡單的密碼。比如你可以在Amazon.com創建一個密碼為“aaaaaa”的賬戶。這個密碼用暴力破解法幾秒鐘就能被猜到，但亞馬遜就是允許你使用它。 在另一份論文中，赫利總結說許多世界上規模最大、訪問量最多的網站使用弱密碼政策並沒有什麼太大問題，而一些隱秘的政府和大學網站卻要求嚴格。為什麼？因為政府和大學網站並不是很在乎網站有多麼難用。“當不存在支持易用性的聲音或它比較弱時，安全政策就會變得不必要​​的嚴格起來。”赫利和另一位微軟研究員丹尼爾•弗洛蘭溪（Dinei Florencio）寫道。 似乎每個人都認為使用強密碼是個好主意，但越來越多的電腦專家表示強密碼不再像湯姆孫和莫里斯寫出那份開創性的論文時這麼重要了。有些專家甚至表示在一些場合使用弱密碼完全沒有問題。你當然希望為你的在線銀行設置一個特別而又極端強的密碼，但當你登陸美國廣播公司的Kids欄目時你也想用這種密碼嗎？為何不嘗試用一個不太會被猜到的字母組合呢？ “這不是因為人們現在不再破解密碼，而是因為真正的弱點不在於此。”哥倫比亞工程學校計算機科學教授斯蒂芬•巴洛芬（Steven Bellovin）說道。他表示如果你擔心你的密碼被猜出來，還不如擔心你被網絡釣魚或者鍵盤操作被記錄呢。 如果一個罪犯打算闖入一家公司竊取數據的話，弔詭的是他會使用默認密碼——對於遠程控制的現金出納機系統來說這是個大問題——或是使用鍵盤記錄軟件偷來的密碼，Verizon Business調查反應主任布萊恩•薩丁（Bryan Sartin）說道。“在我們所看到的所有的被猜出的密碼中——尤其是那些破解初始階段的密碼——大多數實際上根本用不著破解。”他說道，“很多密碼我們早就知道了。 ” 密碼的重複使用對於使用者來說是一大隱患。網站可以屏蔽連續不斷的登錄請求，但要是它本身就被攻破了呢？“如果一個網站被攻破了，並且保存的密碼被暴力破解，而一些密碼又被用在別處，那你就遇上大麻煩了。”一家總部位於米蘭的安全諮詢公司“安全網絡”的主席斯蒂法諾•贊讓諾（Stefano Zanero）說道。 殭屍密碼 赫利和範奧斯浩特辯稱這個問題的一大原因是因為電腦行業在大約10年前徹底放棄了密碼，以至於沒有足夠多的嚴謹的研究來完善它們並了解密碼在真實世界中是如何被猜破的。 要怪就怪比爾•蓋茨去。 八年前，比爾•蓋茨語言電腦密碼很快將從這個世界消失。他說密碼是電腦安全的一個薄弱環節，還說“毫無疑問隨著時間的推移，人們將越來越少使用密碼。” 蓋茨的想法是我們將使用智能卡片或RSA安全ID認證兩種方式來安全登錄，不管我們走到哪裡。這也是所謂的“雙重認證”。你使用一個你記住的東西（你的密碼），然後為了更加安全，再使用另一樣東西——你手邊的東西（比如一張智能卡片或者RSA令牌）。 在專業雜誌中，蓋茨的預言被報導為替密碼敲響了喪鐘。然而八年過去了，在這段時間裡，Facebook，Twitter和維基百科增加了數以萬計的用戶——所有的用戶都使用平常的密碼登陸——沒有一個人使用智能卡片或者RSA令牌登陸。即使是微軟自家強烈推薦的Cardspace便捷認證軟件也一直是個浮雲。 微軟研究院：柯麥科•赫利（照片：微軟） 密碼並未消亡，相反它越來越發展壯大。我們為當地新聞網站設置了密碼，為在線看電影設了密碼，我們的e-mail和社交網絡也有了密碼。 密碼使得許多網站有了一種便捷而又相對可靠的用戶登錄方式，但是電腦行業對此須持謹慎態度。赫利和範奧斯浩特如是寫道“像密碼即將消亡這種不成熟的結論已經導致了許多關鍵的研究問題被忽視。” 他們認為我們需要多多研究何處使用密碼是合理的，如何讓它更加易用，並且還要了解密碼被破解到底造成了多大的經濟損失。對於這些密碼的用戶來說，損失又是多大呢？在另一份論文中，赫利估計每年對於復雜密碼研究的耗時將導緻美國商業界數十億美元的產能損失。 這個問題在電腦安全界是一個爭議性的話題。在經歷了20年不斷強調複雜密碼的重要性後，誰會想去承認說這完全是牛皮吹太大了呢？ 微軟不允許赫利接受此次採訪，但沒有給出原因。 但赫利和那些有同樣想法的人正在獲得越來越多的支持。“他的立場讓一些人難堪，因為他在對抗傳統的觀念，​​但總的來說我認為他是正確的。”巴洛芬說道。 via 譯言。 轉載網站