網路密碼越複雜越好?

0
494

斗膽讓我猜猜:你上網用的所有密碼——網路銀行、郵箱、網購、Facebook、部落格的登陸密碼——在你腦子裡是亂七八糟。你也非常清楚,訪問不同的網站,必須選擇一串不一樣的、排序複雜的字母、數字和符號做密碼,然後把它背下來。
(先人的智慧教導我們密碼守則第一條:絕對絕對不能把密碼寫下來。)可是你不會真這麼做,因為你知道自己的腦子沒有這種能力。於是你選擇用熟悉的單詞來註冊每一個網站:比如自家狗狗、你家那條街的名字,再加幾個臨時想到的排列,比如“123”作為結尾。也有可能你真的遵守了那條守則,也因此在登陸銀行帳號的時候常常被鎖起來,或不停回憶各種荒謬的安全問題的答案。 (“你小時候最喜歡的運動是什麼?”我現在就被問到這一題,可是我小時候最喜歡做的“運動”就是設法翹掉體育課。iTunes商店還有一個問題是問客戶他們“最不喜歡的車子”是什麼。)最可怕的是,最近幾年,你還會被逼著設一個字母混合大小寫的密碼,可有哪一個正常人能記得起如此多重組合的排列呢?至少那個人肯定不會是你。

如果你覺得自己設的密碼太差勁了,我有個理由能讓你不那麼愧疚:這樣的爛密碼是普遍存在的。上個月,PIN密碼洩露事件的分析報告顯示,大概有十分之一的人會選擇“1234”做密碼;而最近雅虎網安全漏洞事件也讓我們發現,有上千名用戶設置的密碼要麼是“password(密碼)”“welcome(歡迎)”“123456”要麼就是“ninja(忍者)”。人們總是會設一些爛到不行的密碼,甚至拿它去保護一些比自己的存款還重要的東西。軍事安全專家們大都知道,在冷戰高峰時期,美國核彈的“解鎖密碼”竟然是00000000。五年前《新聞之夜》亦曾揭露:1997年以前,英國部分核彈的鑰匙鎖,其本質就是一個自行車的車鎖。至於怎麼選擇讓彈頭在空中還是地面爆炸,只要用IKEA的內六角扳手(Allen key)就可以搞定。而這些根本就不是密碼。遇到敵方攻擊的時候,快速反擊比其他什麼都重要。

我們的密碼處在危險之中,而這也成了邪惡的駭客和“掛羊頭”的安全測試人員一場又一場“軍備比賽”。可是你只要跟那些內行人聊聊,就知道先人的智慧其實也是值得商確的。舉個反例:把密碼記下來可能才是一個好主意。有些老闆會命令員工90天更換一次密碼,這可能並不是在提高安全性,反而是給自己惹麻煩。同樣的事情也發生在一些銀行的密碼設置規範上:密碼不能超過12個字符,不允許使用空格鍵,等等。而在所有規定之中隱藏的真相是:密碼——作為保護人們在網路上的私人資料的途徑,最後卻在根本上被違背了它的本職。我曾向一個經驗豐富的網路安全研究員比爾·切斯維克(Bill Cheswick)指教,問他有沒有辦法能一勞永逸地解決這一問題。他想了一會兒,提議道:“就把你的電腦燒掉,然後滾到海邊玩兒去。”儘管你的腦子可能已經亂得不行,但還是有既安全又不會失去理智的方法。只不過這種方法跟以前別人教你的不大一樣。

密碼破解手法形式多樣,然而當中最重要的反而不是靠邪門歪道,而是靠蠻力強行攻擊。舉一個例子:有一個駭客,他潛入一家公司的服務器,準備偷取一份文件,文件上記有上百萬條密令。這份文件(但願)是被加密的,因此他不可能直接登入這個帳號。假設文件裡的密令是“hello”(當然沒那麼簡單),在文件中它就會被加密為類似“$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90”的字符。他不可能隨隨便便就把這行亂碼解開,因為他知道文件是被“單向加密”的。而他能做的,僅是將所有上百萬種可能性加入同一個加密算法進行測試,直到其中一個密碼剛好中獎,得出的結果與那一連串的亂碼相符合。只有這樣他才知道自己找到了那個密碼。 (有一種附加的加密技術被稱作“salting”,它可以阻擋這種攻擊,但現在尚不清楚有多少公司真的使用了這項技術。)
這時,密碼長度所能產生的你無法想像的作用。假設有一個駭客的電腦每秒鐘能猜測1000種五位純字母、完全隨機、全部小寫的密碼組合,比如“fpqzy”,那最多需要3小時45分就能破解成功。現在只要把密碼設成20位,破解的時間自然就會增加一點:要花650萬兆年的時間。

現在就有一個人為預測的問題。畢竟沒有人能想出一個字母與數字完全隨機的排列組合。相反,人們會遵循一些自然規則,比如用一些已經存在的單詞,然後將字母O用數字0代替,或者在姓氏後面跟上一個年份。駭客們也知道這一點,所以他們的破解軟件會綜合這些規則進行猜測,從而有效減少時間,快速猜中目標。每次,在一百萬條密碼中都能出現一個新的漏洞,這就像2010年的 Gawker 事件和今年的雅虎事件【注1】一樣,而每次駭客們都能藉此有效學到人們設置密碼的新知識,也使得他們破解密碼更加輕而易舉。你可能以為自己夠聰明,能想到一個絕佳的方法設置密碼,其實駭客們早已熟稔於胸。

所以說,最不可能破解的密碼就是一長串完全隨機的字母、數字、空格和符號,可真要這麼設你就背不下來了。不過,既然長度這麼很重要,你會發現一個驚人的事實:一長串無規則的英文單詞,且全用小寫——比方說“awoken wheels angling ostrich(吵醒的、輪胎、釣魚、鴕鳥) ”就比已經很短小、還遵循銀行那些煩人規定的密碼([email protected])要安全得多。而且這樣的密碼還更好記,因為你在記憶中已經建立了一個畫面:有一群吵鬧的輪胎吵醒了一隻在河邊釣魚的鴕鳥,不是嗎?正如熱門的宅向漫畫《XKCD》去年發布的一期漫畫就很清楚地指明了這一論點:“經過了20年的努力,我們成功地讓每一個人練就一副’密碼設得是人都記不下來、是電腦都猜得出來’的好功夫。”

而且其實事實比這更糟。因為密碼太難記了,於是人們發明了“密碼追回”,當中,安全問題就簡單得連駭客都答得出來。這就是為什麼2008年莎拉·佩林【注2】的個人郵箱會被駭客黑掉:入侵者把她的郵政編號和高中校名全給猜對了。帳戶追回的另一相關缺陷還導致《Wired》雜誌【注3】作者馬特·霍南(Mat Honan)在今年八月遭到了駭客的惡性襲擊。幾名駭客成功佔用了他的Google帳號,並以他的名義在Twitter上發表了種族歧視的言論,並遠程清空了他手提電腦、手機以及iPad裡的所有資料。後來其中一名駭客通過網路留言給霍南,告訴他,這一切之所以會發生,是因為亞馬遜網站的客戶服務熱線很樂意提供了他信用卡帳號的後四位,而在蘋果的客戶服務台,剛好就可以用這四位數重設他的蘋果iCloud帳戶密碼。

有一些網站會讓你使用密碼短語(passphrase),就是剛才說的“釣魚鴕鳥”那種。可是大多網站都不會這麼做。在這樣的情況下,很多安全專家都認為,人們應該無視銀行的規定把密碼寫下來。他們的邏輯其實很簡單:因為你覺得記在紙上很不靠譜,你就會想個折衷的辦法,最後你就選擇最不安全的密碼。 (同樣的道理,有些人會建議、甚至要求你定期更改密碼,可其實你要記的密碼越多,就越會被逼著去選擇簡單一點的密碼。)“我有68個不同的密碼, ”微軟安全專家傑斯珀·約翰遜(Jesper Johansson)幾年前在一次會議上說。 “要是他們不准我寫下來,你猜我會怎麼做?我肯定都會把所有帳號都設上同樣的密碼。”密碼專家布魯斯·施內爾(Bruce Schneier)也同樣提倡人們把密碼寫下來。他指出,絕大多數人其實都能夠妥善保管幾張小紙片的安全。你的配偶或你的室友是否可信,這種安全問題你絕對有能力推測出來。可換做是俄國駭客集團是否會威脅到你的銀行帳戶,你就很難預測。

我把這類見解告訴尼爾·艾肯(Neil Aitken),他是英國支付委員會的發言人(該委員會負責監督跨行轉帳系統與連結網絡及其他事務)。他聽了之後倒是顯得十分鎮定。他解釋說,問題的關鍵在於欺詐法強迫銀行客戶必須執行一些義務。如果你只顧著保護自己的密碼,此時如果有人盜走你帳戶裡的金額,法律就會認定你「犯下嚴重疏失」,這樣你的錢就很難再找回來。「你可以有一個世界上最難破譯的密碼,可如果你告訴了別人,那你就把這密碼給毀了。」藉此委員會強烈建議英國客戶千萬別把密碼寫下或把密碼告訴給其他人。

兩方都各持己見。這就是安全問題的麻煩之處:你必須得權衡利弊。越方便意味著越不安全;對遠程攻擊防得越緊就讓狡猾的室友越有機會趁虛而入。你是願意冒稍微大(雖然這很難量化)的危險在金錢上,還是讓自己處於長年的密碼攻擊之中?這種問題有夠複雜,就好像是在問你:「你最不喜歡的車子是什麼?」
比爾·切斯維克(Bill Cheswick,朋友都稱他為切斯 Ches)和很多人一樣,堅信我們這個社會正在淪入密碼的混沌之中。與其他人不同的是,他覺得自己得為此負一部分責任。 1994年,作為 AT&T 的虛擬研究部——貝爾實驗室(Bell Labs)的成員之一,他參與合作撰寫了一本書。書名耐人尋味:「防火牆與網路安全:擊退狡猾的駭客」。 (他曾提出「代理伺服器」這一概念,這也因此成為他在互聯網圈子裡被稱為「半人半神」的原因之一。)這本書為現代網路安全奠定了基礎。可是現在,他說道,當我們大家在曼哈頓咖啡館見面上網的時候,密碼就成了「一根倒刺!誰能通曉那麼多事情?」這個話題總能讓切斯維克活躍起來,雖然他平時就是個滔滔不絕熱情洋溢的傢伙,可這次他還是會讓對桌的人們從自己的筆記本裡抬起頭看他。 「還有那麼多規定!你還得混合符號啊,大小寫啊,數字啊……」

切斯把這些規定稱作是「蠑螈眼」,因為他們就像魔藥的配方一樣。偶爾在發表演講的時候他太得意忘形了,也會把這些規定稱作是「密碼界的法西斯」。 「我有25個不同的帳號,難道我就要去記25個不同的『蠑螈眼』密碼?這不科學啊!」

除此之外,他還提到,把精力都集中在密碼的複雜化,這也變得越來越無關緊要,因為現在更加嚴峻的威脅是鍵盤記錄器——一個秘密安裝在你電腦裡的軟體,可以通過網路監視你所按下的鍵盤按鍵。 「不管你的密碼設得有多高明,只要我在監視著你的鍵盤,你就死定了」他說道。如果想降低風險,你可以改用 Mac,或將不安全的 Windows XP 系統升級為 Windows 7,並裝上反病毒軟件。但真正最保險的方法是永遠不要訪問那些攜帶惡意軟件的網站。而且,「如果你的孫兒跑來玩你電腦,或者你讀初中的兒子輸入一個不安全的網址,那你就完了。」同樣危險的還有「網絡釣魚」攻擊,很多媒體都炒作過,就是把一封郵件或網址包裝得很和諧,比如把它偽裝成你銀行的登陸網頁,以此騙你輸入密碼。 (反“釣魚”最基本的方法就是要檢查你瀏覽器的地址欄;將鼠標懸停在鏈結上,確保該鏈結的真實性;而且千萬別在郵件的回覆中填入密碼發回去。 )

也許有一天,我們不用在操心這些事情,也許以後會有革新發展能夠徹底將密碼代替。也許可以利用觸屏技術,藉此檢測你與電腦互動間最細微的差別——你手指間的距離,你點擊與拖動觸屏時的速度。此外,新澤西羅格斯大學的技術人員已經做出一個指環的樣本,你將它戴在手指上,它就會爆出微小的電流,通過用戶的皮膚發射到屏幕上,以確認用戶的身份。指紋識別系統已被嵌入在部分手提電腦中,但由於該技術仍存在太多問題,目前尚未得到重視,但它還是可以被改善的。可你別急著鬆口氣。在可預知的未來里,“密碼仍不會消失”,切斯維克說道。 “儘管我很希望密碼能夠消失,可它們畢竟還是太方便了。”

與此同時,他還建議我做一件事,儘管為了完成這篇文章的我已經被自己所做的研究給嚇傻了。他要我裝入一個被稱作是“密碼錢包”的軟件,比如 LastPass 或 1Password。這些軟件能將你所訪問的每一個網站生成一組高度隨機的密碼,並用一個主密碼將它們保存起來。我裝上了 LastPass 之後,通過它選了一個非常長的序列,包含英文單詞和數字。比方說現在我已經完全不知道、以後也不會知道我的郵箱密碼是什麼,但這不要緊,因為 LastPass 隨時都能把密碼告訴我。

這當然不是十全十美的解決方法。但 LastPass 幾乎在很多問題層面上都是安全的。因為它只在用戶自己的電腦上進行加密與解密,而軟件公司也不會知道我的主密碼,這就意味著要是我忘了主密碼,就沒人能幫得了我了。 (也沒有需要設置安全問題的“密碼追回”。)而且——沒錯——我把它寫下來了,以加密的形式記在一張小紙片上,還很小心地把它藏了起來。希望我能很快把密碼記下來。畢竟沒有什麼是絕對安全的,更別說絕對安全又絕對方便的方法更不可能存在,但我覺得這是個很折衷可行的辦法。但願我不會忘了自己把紙條藏在哪兒了。

【注1】Gawker 是著名的明星追踪網站。 Gawker 與雅虎網都曾爆出存在安全漏洞。
【注2】Sarah Palin,長期活躍於美國政界,2008年由共和黨提名總統候選人麥凱恩選為副總統人選,搭檔參選總統大選。
【注3】Wired 是一本在全球範圍內有很有名的科技雜誌。