密碼已死

密碼保護曾是IT業不可告人的秘密，但計算機科學家察覺到，密碼系統已遭破壞。只屬你個人的生物標識是密碼的下一個替代方案。

每天早晨登陸網絡的時候，你會感到互聯網帶來的便利好像都消失了。

你先要輸入用戶名和密碼來啟動智能電話或電腦，然后用另一個密碼打開電子郵箱。社交網站、微博自然也需要密碼。想在網上書店買本書？登陸書店又要一個密碼，用信用卡付賬則需要另一個密碼。

但如今密碼失竊事件頻頻發生，黑客集團LulzSec最近成功侵入索尼公司的網絡服務器，從那里獲得了100多萬名索尼客戶的姓名、家庭住址和密碼：而這一切都以純文本形式存儲在索尼的服務器上。所以，你最好還是多長個心眼——密碼不密啊！

快碼當立

每天你都要準備輸入一個又一個的密碼。大多數人不愛這么折騰。20世紀90年代，最常見的密碼是12345，現在，最常見的密碼又增加了一位是123456，據調查，有1%的用戶使用123456作為賬戶密碼。這說明黑客只須試驗最常用的密碼就可進入許多賬戶。

由于電腦的普及和網速加快，黑客每分鐘可破譯數千個密碼。有些人一個密碼用遍天下。問題是，一旦某個站點被黑，那些壞蛋們就可以拿這個密碼破壞你其他的賬號。

要想擁有一個相當難以破解的強密碼，安全專家建議使用含有10個字符以上的密碼。應當混合包含大小寫字母、數字還有符號。如果這樣做的話，你應該可以安枕無憂地睡好覺——這或許可持續19.24年。 這正是黑客嘗試10個字符的各種排列組合所需花費的時間——假設密碼是加密的，而黑客擁有足夠的電腦計算能力來發動每秒1000次猜測的破解密碼攻勢的話。

但是這么復雜的密碼，連自己都想不起來了。為此資深安全研究員、計算機科學博士馬庫斯#8226;雅各布森想到了一種自稱為“快碼”（fastwords）的方法。你不用費神編造冗長啰嗦的密碼，而是從你的一閃念中找出三個詞組合在一起（當然，這一閃念只有你自己心知肚明）。比方說，一天你開車上班（work），碾到一只青蛙（frog），把它給壓扁（flat）了，沒準兒，你就選擇了“frog work flat”作為快碼。

這么做的好處：你可以以任意順序輸入這三個詞（“flat、 frog、 work”），系統依然能辨別出你的身份。如果你想不起來這幾個詞，快碼系統會告訴你其中某個詞，幫助你回憶起最初的那一閃念，然后想起來全部三個關鍵詞。雅各布森說，一家大型服務供應商正在對“快碼”的產品理念進行評估。

密碼管理器

當然了，如果嫌這么多的密碼麻煩，你也可以用LastPass 這種密碼管理工具來幫忙。位于弗吉尼亞州維耶納的LastPass是一家成立相對較晚的服務公司，它從2008年開始提供密碼管理服務。該公司首席行政官喬#8226;西格里斯特表示，公司從成立以來目標就是構建能承受各種威脅的安全體系。

LastPass 是整合在瀏覽器上的工具軟件，同時你的賬號/密碼數據會以加密的方式傳送到 LastPass 的服務器上，這些賬號/密碼數據也會同步到你的其它計算機裝置上，你唯一要記住的就是進入 LastPass 的管理密碼，其它的就交給 LastPass 搞定。

LastPass并不存儲實際密碼，而只是以加密形式儲存密碼。它沒有對這些進行解密的密碼，只有它的用戶擁有解密密碼。它甚至沒有存儲用戶的LastPass主密碼，即用于獲取所有其他密碼的密碼：而這個主密碼在發送至“云端”而到達LastPass在線儲存中心之前也同樣進行了加密處理。也就是說，LastPass將信息送入“云端”之前進行加密，從“云端”讀取時再進行解密。

應該說LastPass夠安全了吧，但是也可能存在一個安全漏洞，那就是用戶選擇的那一個難以破解的主密碼，需要的是在任何語言的字典里都無法找到的一串字符。這種字符很難用人腦記住，如果動用記憶軟件的話，就容易被找到漏洞。

但是其實很多密碼不是被直接破解的，而是通過“釣魚”和“鍵盤記錄”之類的病毒獲得的。對網民來說，強密碼對于諸如釣魚攻擊和鍵盤記錄之類的密碼盜竊手段毫無防御能力。

以鍵盤記錄器病毒為例，這種間諜軟件是由病毒留存在電腦上，對該電腦所有的鍵盤操作進行記錄——包括你能編制出的那些最強的密碼，然后偷偷地將密碼發送到一個遠端位置。防病毒軟件可以檢測并攔截許多類型的鍵盤記錄器病毒，但不能保證防病毒軟件能對付所有的鍵盤記錄器病毒。

消滅密碼？

計算機科學家察覺到，密碼系統已遭破壞，他們正尋找替代方案。但是大多數嘗試都無功而返。盡管專家告訴我們，密碼是一種失敗的、過時的模式，但所有人都依賴密碼，并且覺得這么做理所當然。

取代密碼的有效方式之一就是生物識別，一種可以識別獨特體征（指紋、虹膜、聲音等）的系統。很多人信不過生物識別技術，因為它聽上去有點被監視的感覺。但如果把生物識別系統放到手機里，讓用戶控制的話，這樣的技術就會被大眾接受。

想象一下未來：在公共電腦上瀏覽網頁、訪問社交網站、查詢銀行賬戶、在亞馬遜上買東西，你無需輸入任何密碼和信用卡信息。然后你起身離開，甚至無需退出。一些網絡犯罪分子坐在你用過的那臺電腦上，試圖破解你的密碼，但他無法訪問你的賬戶，因為你的手機已經不在電腦桌上了。

雖然蘋果公司還沒有談到具體的計劃，但似乎正在探索、開發取代ID、密碼和信用卡的技術。與此同時，Google也談到了相關計劃。

現在，美國商務部正在帶頭開發一套新的網絡安全系統，專家們說這套系統會最終消滅密碼迷宮，而且有望促進電子商務的發展。該計劃旨在通過使用某種工具，比如數字令牌、智能卡或者指紋識別器，使每次打開電腦或者電話只需登陸一次；一旦登陸，用戶就可以進入加入這個計劃的任何一個網站。

約翰#8226;克利平格是哈佛大學伯克曼互聯網與社會中心的法律實驗室聯席主任，也是這個計劃的倡導者之一。他說：“在這套系統中，你自己就是你的密碼，這個密碼效率要高得多，對它你也能掌控得更好。”實施了這套名為“網絡空間可信任身份國家戰略”的新規則后，因擔心安全或隱私問題而無法進行的活動，或許就可以轉移至網上完成。

不過在這些技術成熟之前，加拿大渥太華卡爾頓大學計算機科學教授保羅#8226;奧斯凱特對密碼持懷疑態度。他說：“我相信任何密碼系統都將遭到破解。”因此，“我不使用密碼管理器，我把我的密碼寫在紙上，并略微加以模糊處理。”但是，即便這樣他仍然不相信密碼：由于擔心遭到黑客攻擊的風險，他甚至不開設任何網上銀行賬戶。