密码危机

2015-08-10 12:58

科学之友 2015年3期

网络给人们带来了巨大的便利，我们有了在线银行、电子邮箱、微博、微信，还有各种云服务。可是随着账户不断增加，它们的安全性却越来越差，因为一串密码早已无法保护我们的个人信息。

知道吗？你有一个可以彻底毁掉你的秘密，一个保守得不太好的秘密。一串简单的数字可能会透露你的一切，如果你比较粗心，这串数字只有6位，而如果你比较谨慎，这串数字可能是16位。

自从信息时代拉开帷幕，我们就想当然地认为精心设计的密码可以保护隐私，可以保护你的邮箱、银行账号、地址、信用卡号，你孩子的照片或者更糟的是你的裸照，但是2012年这个神话破灭了，不管你的密码设计得多么复杂多么独特，都无法保护你账户的安全。

如今泄密和转储越来越普遍，黑客会侵入系统把所有的用户名和密码都晒到网上。现在人们习惯用邮箱作为用户名，这很可能造成灾难性的后果，由于我们把很多信息存放在云存储器上，所以通过蒙骗客服重置密码越来越困难，但黑客开始利用从网络上获取的各种公开信息侵入你的其他账号。

不管你多么小心，也不管你的密码多么复杂，都无法阻止一个处心积虑、充满恶意的人侵入你的账户。

2012年夏天，黑客仅用了一个小时就彻底摧毁了Amy的数字生活。她的Apple、Twitter和Gmail的密码设计得很好，分别有7位、10位和19位，都包含数字和字母，有的还有字符，但是这3个账户是相互关联的，一旦破译出一个密码就可以轻松侵入其他账户。因为Amy有很多粉丝，所以这些黑客想要控制她的Twitter账户，拖延她找回密码的时间，就通过Apple账户侵入了她所有的设备，包括iPhone、iPad和MacBook，并删掉了上面所有的内容。

自那天之后，Amy就开始研究网络安全，结果让她惊出一身冷汗，“我们的数字世界真是太危险了。比如我想侵入你在美国在线（AOL）上的邮箱，我要做的就是向这个网站提供你的名字和一些个人信息，比如你出生的城市，这些资料在谷歌上很容易找到，然后AOL就会重置密码，这样我就可以随意浏览你的邮件了。”

“猜猜知道这些后我会做什么？首先是查出你在哪申请了网上银行，登录点击忘记密码，然后重置密码并重新注册，这样我就可以控制你的存款账户了。”尽管现在一些安全漏洞已经被堵住，但是还有很多问题存在，而且每天都会出现新的漏洞。

所有的问题都出自密码。在电脑还不像现在这样高度关联的时代，密码确实管用，然而今天不管你做什么，不管你多么小心，也不管你的密码多么复杂，都无法阻止一个处心积虑、充满恶意的人侵入你的账户。密码的时代已经过去，我们只是还没意识到而已。

人类很早就开始使用密码，而它一诞生就开始有人破译。

公元前413年，伯罗奔尼撒战争打得正酣，希腊将军狄摩西尼率5000士兵在西西里岛登陆，准备袭击锡拉库扎。形势对希腊非常有利，而锡拉库扎似乎必输无疑。

狄摩西尼的军队在夜晚混战中被打散了，为了重新集结，希腊人开始高喊事先约定好的用于区分敌友的暗号。锡拉库扎人注意到了这个暗号，当遇到希腊人的大部队时他们就会喊出暗号佯装友军。利用这条策略，弱小的锡拉库扎人打败了入侵者，这次战役成为了那场战争的转折点。

第一台使用密码的计算机是MIT（麻省理工学院）在1961年开发的相容时间分配系统（CTSS），为了限制用户使用的时间，CTSS设定了一个登录程序。1962年，为了获得更多的使用时间，一个名叫艾伦·谢尔的博士生用了一个简单的手段骗过了登陆系统，他找到了包含所有用户名和密码的文件，然后把它们打印下来，从那以后，他的上机时间不再受到限制。

网络时代初期，密码非常管用，这主要是因为那时我们需要保护的数据非常少，最多就是邮箱和几个电商网站的账户。那时获取个人信息也不容易，而且侵入私人账户没有意义，真正的黑客都把目标锁定在大公司的信息系统。所以我们开始放松警惕，邮箱地址变成了一种通用的登陆方式，几乎成为所有账号的用户名，即便当我们的账号数量疯狂增长后，依然如此。现在我们通过邮箱地址进入一系列云服务，在那里我们处理银行业务、查看交易记录、进行税务处理，我们甚至开始在那里储存自己的照片、文件和数据。

最终，当侵入个人账户的情况愈演愈烈，人们开始寻求一种奇怪的心理安慰：他们开始寻求更安全的密码保护，这也成了很多网络公司吸引人们在其网站注册并储存信息的噱头。

面对现实世界，任何一个安全系统都必须做出两样妥协。

一是方便，如果难以登陆，那么最安全的系统并不意味着就是最好的，256位的十六进制密码可以确保安全，但你可能永远无法进入自己的账户。如果你不怕麻烦，提高账户的安全性非常容易，但这并不可行。第二个妥协是隐私，如果只考虑系统安全，那么任何用户都无法忍受在使用过程中对隐私的践踏。设想一下在你的卧室里安装上门禁会怎样？那里原本不需要钥匙或者密码，因为安全技术应该全天候应用在大门上，当确认是你后门禁自动取消。理想情况下，如果没有隐私，那么账户将非常安全，但是没有人会接受这样的系统。

20年来，各大网络公司对这两点作出了巨大的让步，为了吸引用户，他们的系统设计既保护了人们的隐私又使用方便，然而安全性却大打折扣。作为弥补措施，他们建议把密码设计得更复杂，只要密码足够长、里面既包含数字又包含字母，再加上标点符号，那就万事大吉了。

然而事实并非如此。现在一台笔记本的处理能力比10年前的一台高端工作站都强，破解一个长密码轻而易举，而且新的黑客技术层出不穷，盗取我们的密码犹如探囊取物，更重要的是黑客可以完全不用密码直接攻击我们的账户，因此不管密码设计得多长多复杂都是徒劳。

为什么我们的密码会如此不堪一击？

让我们设想下黑客可能的手段：他们猜的、从一次密码泄露事件中获取的、破解的、通过键盘记录器盗取的或者是欺骗客服重置了密码。

让我们从最简单的黑客手段说起：猜测。事实证明，粗心大意是网络安全最大的敌人。尽管被反复警告，很多人还是会使用容易被预测的密码。安全顾问马克·伯内特编制了一本包含10000个最常用密码的小册子，他发现人们最常用的密码就是“密码”（注：英文的password），其次是什么？没错，就是123456，如果你用这样的密码，侵入你的账户简直是小菜一碟。利用一些免费的软件，傻子都能破译密码，你要做的就是从网上下载一份常用的密码清单。

可令人震惊的不是我们还继续用这些密码，而是一些公司仍然准许使用，他们应该阻止这些常用的密码被设定为密码，但是即便改掉了这个坏习惯，我们的密码仍然不安全。我们普遍犯的另一个错误是重新使用密码。研究发现，49%的人会在两次黑客袭击中使用同样的用户名和密码。

谷歌认证系统工程师戴安娜-斯莫特说：“重新使用被盗密码是最让我们头疼的事情。”通常把用户名和密码贴到网上的黑客还算好的，有些人会把这些信息偷偷地出售。你的账户很可能已经被侵入，但是你却毫不知情，直到这个账户或者另一个用同样密码的账户被毁以后。

黑客还会通过一些手段来获取密码，最有名的技术就是钓鱼，通常他们会模拟一个人们熟悉的网站，然后要求用户输入登陆信息。Shipley Energy的CTO史蒂夫·唐尼告诉我一个关于这项技术如何侵入他们公司一位董事账户的例子。为了保护其邮箱，这个董事设了非常复杂的密码，但是如果能让用户主动提供密码，你根本不需要去破解。

黑客给她发送了一个伪造的AOL网页并向她询问密码，她照做了，此后一直相安无事。最初黑客一直潜伏着，他阅读了这位董事所有的邮件并逐渐对她有了了解，黑客知道了她把钱存在哪个银行，她雇佣了一个会计师帮她打理财务，黑客甚至知道了她使用电脑的习惯，她常说的话和常用的问候语。终于有一天，黑客给她的会计师发了邮件，要求分三笔给黑客在澳大利亚的账户转12万美元，而当这位董事发现的时候已经转走了8.9万美元。

使用病毒软件是更为恶毒的盗取密码的办法，将病毒植入你的电脑然后偷偷把你的数据传给别人。根据威瑞森的报告，2011年有69%的数据泄漏事件都是因为病毒软件的攻击，这些病毒在Windows系统中传播，现在越来越多的开始在安卓系统中传播。这些病毒的工作原理是在你的电脑上安装键盘监视软件或者其他间谍软件，这些软件可以看到你输入的东西或者是浏览的网页。它们的目标通常是大的机构组织，目的不仅仅是偷密码，而是要侵入整个系统。比如，2007年出现的ZeuS就是一种非常厉害的病毒，通常钓鱼软件会发送一个诈骗链接，只要点击一下，病毒就会自动安装到你的电脑里，然后这个软件就等着你登录网上银行或者其他账户，只要你进行这样的操作，ZeuS就会记住你的密码，然后发送给守候着的黑客。

如果密码问题仅限于此，那我们还是可以应对的。我们可以不用被贴出来的密码和用户名，我们可以对钓鱼软件更加警惕，我们还可以用杀毒软件把病毒都消掉。

但是我们还必须应对最薄弱的环节：人类的记忆。为了不被破译或者猜出来，密码必须非常复杂。但是如果密码过于复杂，你很可能会把它忘掉。因此，很多基于密码的系统都可以帮助你重置密码，这种不得不做的妥协意味着恢复一个被遗忘的密码不能太难，然而这又让你的账户很容易被社交工程手段攻击。尽管“社交”手段只占黑客攻击事件的7%，但是其盗取的数据却占37%。

也许你会认为这种事不会发生在自己身上，只有名人才会惹人关注，但是你有没有想过，你的LinkedIn（领英，全球最大的职业社交网站）账户、Facebook或者其他亲朋好友的账户？如果你经常上网，那么回答你的问题并不困难。你妈妈的名字、你高中的吉祥物、你的生日以及你最好的朋友都可以在相应的社交网站被查到。

到底是谁这么不遗余力地要毁掉你的生活？

那么，到底什么人会做这些事？这些人大致可以分为两类，海外犯罪团伙以及讨厌的孩子，不管哪一类都让人紧张。

犯罪团伙效率高而且非常频繁。曾经写恶意软件或者病毒程序只是一些黑客的业余爱好，但现在不是了，最近几年早已演变成了有组织的犯罪。他们的动机非常简单：钱。

一些年轻人也让人头疼，盗取Amy账户的人是一个绰号“Dictate”的14岁孩子。和传统意义上的黑客不同，他只是和网站联系要求重置密码。他们这样的人会从网上先搜集你的信息：你的名字、邮箱、家庭地址等，这些都很容易找到。然而，他们用这些信息重置你在Hulu和Netflix的密码，从中再获取更多的信息，比如你信用卡的后四位数字。一旦他有了这个数字就可以进入你的AOL、微软以及其他重要账户，而且通过不断地尝试，他很快就能看到你的邮箱、照片和其他重要文件。为什么这些孩子会这样做？大部分是为了恶作剧，他们最喜欢做的事就是在你的个人账户上发布种族歧视言论或者其他攻击性的信息。

有这些孩子在，密码系统就不会安全。我们不可能把他们都抓起来，就算可以，也还会有新人出现。任何适合65岁人的密码系统几秒钟就会被14岁的黑客攻陷，这就是我们面临的难题。

基于同样的原因，很多人们想出来保护或者弥补密码问题的高招都变得无效。经常有人说，Gmail的双重认证非常神奇，首先你必须在谷歌注册你的手机号，然后只要你在一个陌生的IP地址登陆，谷歌就会发一个附加码到你的手机上，这就是第二重保护。这样就有效了吗？让Amy来告诉你马修·普林斯的遭遇。

2012年夏天，黑客盯上了CloudFlare的CEO普林斯。他们想侵入普林斯的谷歌账户，但是这个账户有双重保护，他们是怎么做的？首先黑掉他的AT&T手机账户。AT&T使用社保号作为密码，只要给运营商这9位数字甚至只需要4位，外加姓名、电话号码以及邮寄地址等信息，就可以实现呼叫转移，而现在获取社保号码太容易了，这些号码在网上公开售卖，而且想要谁的都有。侵入普林斯的AT&T账户后，黑客要求谷歌的客服重置普林斯的密码，而谷歌的确认信息转到了黑客那里，总之就是这么简单，双重保护只是给黑客添了点麻烦而已。

互联网上没有秘密，只要点击几下鼠标就可能知道一切。

密码的时代已经过去了，只是我们还没有意识到，没有人知道未来该朝何处发展，但是可以肯定地说，仅通过一个秘密已经无法保护我们的数据了，不管这个秘密是一串数字、十串数字或者是回答50个问题。

我们的安全系统应该围绕用户来设计：我们是谁，我们做了什么，我们什么时候去了哪里，我们身上带着什么或者在什么地方做了什么等。每一个重要的账户都需要提供多个信息，不能只有两个更不能只有一个。

最后一点至关重要，谷歌的双重验证思路很好，但是他们应该继续推进，因为双重保护显然不够。想一想当你在街上看到一个人，觉得他可能是你的一位朋友，你不会和他要身份证验证。你会有一个综合的判断，他换了新发型，他穿的是自己的夹克吗？他的声音变化了么？他是在自己经常出没的地方吗？如果这些线索都不匹配，你不会只相信他的身份证，即便看上去很像，你也会觉得他是冒牌的。

未来的网络身份验证系统应该这么设计，尽管仍可能包括密码，但其功能就像上面说到的身份证，密码只能是多重验证系统中的一个。

生物鉴定法可行吗？也许是电影看多了，很多人认为指纹识别或者眼角膜扫描可以取代密码的功能，单一验证并且可以迅速识别，但是这两个方法都有缺陷，首先支持它们的系统并不存在，这就像一个鸡生蛋还是蛋生鸡的问题，指纹识别和眼角膜扫描系统价格昂贵而且经常出问题，因此没有人用，而正因为没有人用，所以它们永远不会变得更好更便宜。

第二个也是最重要的问题是单一验证系统存在的硬伤：指纹识别或者眼角膜扫描只能提供单一的数据验证，而单一数据很容易被盗取。尽管眼角膜识别在电影里看着非常炫，但在高清晰摄影时代，如果用你的脸、眼镜或者指纹作为单一验证手段，就意味着任何人都可以侵入你的账户。

这是危言耸听吗？绝对不是。凯文·米特尼克开了家网络安全公司，他曾是FBI通缉的黑客。有一家公司雇佣他闯入自己的系统，然后告诉雇主他是怎么做的。该客户使用了声音识别系统，为了进入系统，你必须重复一段随机产生的数字，同时保证顺序和说话者的声音是匹配的。米特尼克给他的客户打了电话，并记录了谈话内容，期间他诱导客户说了从0～9的所有数字，然后他对录音进行了处理，并在识别系统前播放录制的数字读音，安全系统就这样被轻易攻破了。

当然，并不是说生物鉴别毫无用处，需要生物验证的设备还是要使用它们。但是，如果你要从一个陌生的地方登录自己的银行账户，那就要更多的步骤，你可能对着麦克说一段话然后进行匹配，或者用手机相机抓拍你的脸部照片发送给3个好友，必须有其中一个人确认后你才能进行下一步的操作。

谷歌公司正在朝这个方向发展，除了双重验证以外，他们还要看每次登录和上一次的相关性，比如地点、设备以及其他谷歌没披露的信息。如果发现异常，谷歌将要求用户回答账户预设的问题，如果无法回答问题，谷歌将发送消息给用户要求他改变密码。

新的认证系统很可能会要求我们在方便和隐私方面重新作出权衡。显然多重验证不方便，为了进入账户，你必须完成很多步骤，但更重要的是你必须牺牲更多的隐私，安全系统可能要获取你的位置、爱好、讲话方式甚至是关于你的一切。

为了更好的身份验证，我们必须作出妥协、有所牺牲，我们不可能回到过去，放弃云服务把自己的信息都装到硬盘里，我们需要一个认证系统确保我们继续享受云技术。这可能需要巨额投资并带来极大的不便，同时让注重隐私的人不安，但已经无法避免。现在我们把自己的一切都交付给一个不安全的系统，因此第一步是要正视现实，第二步则是要改变它。