William+Poundstone

1% 的密碼可以在4 次之內(nèi)猜中怎么可能？簡(jiǎn)單！嘗試四個(gè)最常見的密碼。password，123456，12345678 和qwerty，這就打開了1% 的大門。

如果你是那99% 的人之一，但還要考慮到而今黑客軟件的速度。John the Ripper是一款免費(fèi)的黑客軟件，每秒鐘能測(cè)試數(shù)百萬密碼。還有一款商業(yè)軟件本來是用在刑偵領(lǐng)域里（在查封的電腦中尋找兒童色情或者恐怖分子的信息），號(hào)稱每秒能測(cè)試28 億密碼。

一開始，破解軟件會(huì)運(yùn)行一套窮舉式的、時(shí)常更新的流行密碼表，然后再是整個(gè)字典，包括所有的常見人名，昵稱和寵物名。而今我們這些用戶，在反復(fù)羞辱和威脅之下，大多學(xué)會(huì)了往我們的密碼里加數(shù)字、標(biāo)點(diǎn)和奇怪的大小寫，這叫“重整”（mangling）。理論上，這能讓密碼變得難猜許多——實(shí)際上，效果遠(yuǎn)沒有那么好。

RockYou 事件

之所以我們對(duì)這些愚蠢密碼有所了解，很大程度上來自于2009 年12 月4 日的RockYou.com 安全漏洞事件，他們是一個(gè)Facebook 游戲發(fā)行商。一位黑客公布了這個(gè)網(wǎng)站32603388 位用戶的賬號(hào)名和明文密碼。此前和此后都有很多安全漏洞，但是這一起事件的超大規(guī)模使得它成為密碼研究的關(guān)鍵數(shù)據(jù)組——無論是對(duì)好人還是對(duì)壞人而言。

在RockYou.com 里最受歡迎的密碼是“123456”，使用者人數(shù)高達(dá)290731 人。不同年齡段和性別的人愛用的密碼有很多差異，對(duì)于30 歲以下的男性，許多受歡迎的密碼來自性和穢語。年紀(jì)大的人（不分男女）更傾向于使用昔日流行文化里的老梗。

怎樣的密碼才算安全？

創(chuàng)造一個(gè)安全密碼簡(jiǎn)直是世界上最簡(jiǎn)單的事情：一串完全隨機(jī)的字符就是了?？孔约旱哪X子是無法達(dá)成完美隨機(jī)的，但你也不需要這樣苛求自己：許多網(wǎng)站和應(yīng)用可以拿環(huán)境噪聲的數(shù)據(jù)給你提供完全隨機(jī)的密碼。這里是我在random.org 上獲得的一些密碼例子：

V k54z6X G，P x7 Y Z r m3，N f d e KYsY，F(xiàn)ryVMwMk，BVfqbRQb。

問題解決？對(duì)于那些有迫害妄想的記憶狂人，或者那些用指紋識(shí)別來保障密碼管理軟件安全的人來說，確實(shí)如此。剩下所有人都甭指望能記住這堆字母湯。他們還說每個(gè)賬戶要有不同的密碼！

比起專家來說，大多數(shù)用戶都更在乎密碼的方便好記，而不那么在乎安全性。我不知道哪一方更正確。你家里有緊急避難室嗎？十有八九是沒有吧，但那些裝了避難室的人肯定會(huì)告訴你這玩意兒有多重要。但在你飛奔向避難室之前，也許確保自己始終鎖好前門是更佳的選擇。

密碼面對(duì)的三種威脅

在現(xiàn)實(shí)中密碼會(huì)受到來自以下三個(gè)方面的威脅：日常、群體和定向。

“日常威脅”指的是你認(rèn)識(shí)的人。愛管閑事的同事或者親人可能想要登錄你的賬號(hào)。他們會(huì)通過自己對(duì)你的了解來猜測(cè)你的密碼（而不是靠暴力破解軟件）。日常的打探者也許會(huì)知道你的高中球隊(duì)是野貓隊(duì)（Wildcats）然后嘗試這個(gè)密碼，不過wildCatz1 很可能足以打敗他。

“群體威脅”就像垃圾郵件一樣，不針對(duì)個(gè)人。職業(yè)身份竊賊并不是在專門針對(duì)你的賬號(hào)搞破解，他對(duì)你的個(gè)人情況一無所知，他的目的是匯集一套破解過的賬號(hào)密碼清單，通常是拿去再賣錢。密碼竊賊則使用破解工具，會(huì)先從安全防護(hù)措施較低的網(wǎng)站下手——通常是那些允許你猜很多次的網(wǎng)站。這也許是沒有什么經(jīng)濟(jì)價(jià)值的網(wǎng)站，比如游戲網(wǎng)站。等軟件猜對(duì)了之后，它再用同樣的密碼及其變體去猜你的更加安全的賬號(hào)，比如銀行。

“定向威脅”意味著使用軟件的私家偵探或警探。假如一個(gè)訓(xùn)練有素的人想黑進(jìn)你的賬號(hào)，假如金錢、時(shí)間（甚至法律）都站在他那邊，那他很可能會(huì)成功。唯一的反制手段就是使用隨機(jī)密碼，長(zhǎng)到足以保證其搜索時(shí)間抵得上你的預(yù)期壽命，甚至更久。

不要覺得你不會(huì)成為這種目標(biāo)，哪怕是小企業(yè)的競(jìng)爭(zhēng)對(duì)手也可能愿意花費(fèi)資源去偷一臺(tái)筆記本電腦。推特的全站，就曾經(jīng)陷落過，注意不是某個(gè)用戶而是全站，原因只是一位管理員傻乎乎地選擇了happiness 作為密碼。

短語記憶法的問題

正如生命里所有別的事情一樣，魚和熊掌不能兼得，你不能同時(shí)擁有最高的安全性和最高的易用性。常見的策略里最好的一條是，把一個(gè)短語或者句子變成密碼。你挑選一句話，一個(gè)詞組或者一句歌詞，用它們的首字母來作為密碼。比如如果你要用May the force be withyou（愿原力與你同在）這句話，密碼就是Mtfbwy。

但剛才那句話最好不要用，而這就是問題所在。你肯定會(huì)想起某個(gè)電影、某首校歌或者南方公園里的眾人皆知的句子。

你有幾個(gè)八詞以上的短語能原樣背下來的？隨便一個(gè)句子甚至不見得比隨便一個(gè)詞更難猜。而且很少有人費(fèi)心去重整他們的句子生成的密碼——看起來已經(jīng)很隨機(jī)了嘛！

一個(gè)理想的密碼方案即便所有人在用也不會(huì)失效。但如果句子變密碼這個(gè)方案流行開來，那所有的大眾文化習(xí)語變來的密碼都會(huì)進(jìn)入常見密碼清單，破解軟件會(huì)先嘗試這些密碼。而且習(xí)語縮寫詞一般都是字母，比起同樣長(zhǎng)度的多種字符混合密碼要更危險(xiǎn)。

這個(gè)辦法的有些缺點(diǎn)可以解決。比如，永遠(yuǎn)不要用名句。一個(gè)辦法是用私人笑話。但密碼本身是不是還那么獨(dú)一無二，就不那么確定了。不同句子的首字母縮寫也有可能是相同的，產(chǎn)生同樣的縮寫密碼。有些字母更容易成為一個(gè)單詞的首字母，而黑客軟件可以利用這個(gè)特點(diǎn)。

安保，永遠(yuǎn)是最弱的一環(huán)

一個(gè)長(zhǎng)度合適的隨機(jī)密碼，事實(shí)上以今天的科技是猜不到的。它不會(huì)出現(xiàn)在常用密碼列表里。群體攻擊者只有蠻力搜索才能猜到隨機(jī)密碼。有大小寫字母和數(shù)字的情況下，共有62 種不同字符（不算特殊符號(hào)，因?yàn)橛行┚W(wǎng)站不允許）。這意味著一個(gè)8 位隨機(jī)密碼需要猜628 次才能確保命中。這是要猜22 萬億次。

這實(shí)際上足以讓你免受互聯(lián)網(wǎng)群體攻擊，也會(huì)讓定向攻擊進(jìn)展緩慢。假如承認(rèn)現(xiàn)在的刑偵級(jí)密碼破譯軟件每秒鐘可以給出28 億個(gè)猜測(cè)結(jié)果，那么猜這么多次也要22 小時(shí)。

但這并不是說隨機(jī)密碼就是無敵的。它不能被猜到，但仍然可能會(huì)被偷走。你有沒有浪費(fèi)時(shí)間在一些像 “測(cè)測(cè)你的克林貢名字”（或者巫師名字、猶太名字之類的）這些會(huì)讓你填寫個(gè)人信息的網(wǎng)頁小游戲上？其中有一些還會(huì)讓你設(shè)置一個(gè)密碼。這些網(wǎng)站其實(shí)是在收集你的密碼，因?yàn)閷?duì)方知道你在這個(gè)網(wǎng)站的密碼很可能和你在別的網(wǎng)站的密碼相同或相似。在黑市上，這樣收集到的密碼大約可以賣到20 美金一個(gè)。哪怕是細(xì)心的人也總是會(huì)上這種當(dāng)。有些高科技惡意軟件能記錄你敲下的每一個(gè)按鍵，愛管閑事的人會(huì)用低科技手段——在你的背后偷看你的密碼。黑客可以通過網(wǎng)站的安保薄弱環(huán)節(jié)偷走你的密碼，這就跟用戶的密碼復(fù)雜程度完全無關(guān)了。

密碼就像你家房門的鑰匙，哪怕你家里是防盜門，但如果小偷從你的口袋里偷走了鑰匙，那扇門就跟普通的門一樣不安全。安保，永遠(yuǎn)是最弱的一環(huán)。endprint