云時代：如何讓你的密碼更安全

我們沒辦法突破人類記憶的局限，這就使我們無法永久記清密碼，

而且越難以破譯的密碼越難記。

我們總以為密碼能保護我們的網(wǎng)絡安全，然而進入云計算時代后，一串數(shù)字與字母組成的密碼也力不從心了。你的電子郵件、銀行賬號、住址以及信用卡密碼，甚至是你的裸照，都將曝光。

今年夏天，《連線》知名科技作者Mat Honan （邁特·霍南）就經歷了這樣一場災難，他所有的數(shù)字信息和文字資料都被黑客刪除了，損失慘重。為此，他投入網(wǎng)絡安全研究，發(fā)現(xiàn)了密碼系統(tǒng)難以克服的漏洞。

線上生活被毀的啟示

今年8月3日下午，邁特·霍南正在和女兒玩。而這個時候，黑客正在用行動摧毀他的線上生活。當他發(fā)現(xiàn)的時候，谷歌賬號、Twitter賬號和Apple ID全被盜用，黑客借此遠程清除了他iPhone、iPad和MacBook中的所有數(shù)據(jù)，黑客還以他的名義在Twitter上發(fā)表種族歧視的言論。

事后，黑客通過網(wǎng)絡給霍南留言，炫耀自己的“業(yè)績”并告訴他，這一切開始于亞馬遜網(wǎng)站的客戶服務熱線很樂意提供他信用卡賬號的后四位，而在蘋果的客戶服務臺，剛好就可以用這四位數(shù)重設他的蘋果iCloud賬戶密碼。

順著這一線索，霍南捋清了自己被黑的經過：黑客以他的名義打電話給蘋果客服，稱無法登錄郵箱，在提供了亞馬遜給的信用卡后四位后，客服給了黑客臨時密碼；按臨時密碼登錄后，黑客收到蘋果發(fā)來的密碼重置郵件，根據(jù)郵件中的鏈接永久地重新設置了霍南的AppleID密碼。隨后，Gmail和Twitter也未能幸免。再之后，霍南的所有數(shù)字記錄歸零。

這件事反映了蘋果和亞馬遜系統(tǒng)的漏洞，但是在霍南看來，密碼重置才是盜取一切信息的大開端。“如果你在AOL（美國在線）上有賬號，黑客只需在谷歌上搜索你的真實姓名和居住城市，回答對了這些信息就可以重置密碼。以新密碼進入AOL后，黑客可以搜索你的網(wǎng)銀賬號，再按照‘忘記密碼—重新設置—登錄賬戶’的方式就有了你的銀行賬戶和郵件地址。”

這個方法并不復雜，今年夏天被黑后，霍南也學會了如何獲得他人密碼。

“在一個國外網(wǎng)站，我用2分鐘4美元，就可以報出你的信用卡、電話、社會安全號碼和家庭住址；5分鐘后，可以登錄你的亞馬遜和微軟賬號；再給我10分鐘，我可以接管你的ATT賬號；而Paypal賬號也不過需要再多20分鐘。”

密碼到底出了什么問題？

應該承認，在網(wǎng)絡還處于形成期的年代，密碼還是有效地保護了我們。這很大程度上源自那時我們也沒有很多資料要保護，一個郵箱、兩個電子商務網(wǎng)站就足夠了，幾乎沒什么數(shù)據(jù)需要保存在云端。當然，那時的黑客也沒那么多。

隨著云時代的來臨，郵箱地址慢慢變成一種通用的登錄賬號，用它登錄云端應用程序，我們在云端開設網(wǎng)銀賬號、管理個人財務、上稅，上傳照片、文檔甚至私密數(shù)據(jù)，讓各大網(wǎng)站托管我們的數(shù)據(jù)。而這時，黑客也多了起來，有的并非專業(yè)人士而只是孩子，面對黑客威脅，網(wǎng)站的對策是采用超強密碼：足夠長，加入數(shù)字和區(qū)分大小寫。

超級密碼有兩大準則。一是方便，如果密碼一味追求長和復雜，就會使登錄本身成為一種負擔，256位的密碼再安全也不會有人使用的。二是隱私性，整個網(wǎng)站都要被設計得很緊密，以便保護數(shù)據(jù)安全。

一度，人們認為有了超級密碼就足夠了。但是，在這個運算法則的年代，我們隨便一個手提電腦就擁有比10年前高端工作室更強的數(shù)據(jù)處理能力，純靠蠻力計算破譯一個長密碼也不過是讓電腦多運轉一會兒，這還不包括近年新出現(xiàn)的黑客技術。

2011年，美國數(shù)據(jù)泄漏的事件上升了67%，其中大部分都付出了高昂的代價。比如，去年Sony PlayStation的數(shù)據(jù)庫被黑，公司被迫花了1.71億美元來重建它的網(wǎng)絡來保護用戶賬戶，但加上負面影響帶來的損失，一次被黑就能帶來近十億美元的經濟災難。這些預示著超級密碼將威風不再。

黑客破解密碼的利器

除了蠻力破譯，黑客破解密碼的第一個武器就是“蒙”。安全專家Mark Burnett調查顯示，用戶使用頻率第一位的密碼是“password”， 第二位是“123456”。令人震驚的并不是用戶居然認為這么簡單的秘碼能保護隱私，而是各網(wǎng)站居然能允許這么簡單的密碼通過設置。

此外，密碼重復使用也是個問題。過去兩年，雅虎、LinkedIn，、Gawker、 eHarmony被黑后曬到網(wǎng)上的用戶名和密碼中，居然有49%的用戶在兩個網(wǎng)站以上使用相同密碼。相對而言，這些把密碼曬到網(wǎng)上的黑客還算好人，真正可怕的是偷取你的密碼后在黑市出售，那樣你很可能要等到使用相同密碼的賬戶崩潰后才發(fā)現(xiàn)。

黑客除了靠蠻力和“蒙”之外還會“騙”，最著名的當然是釣魚網(wǎng)站。希普利能源董事會CTO Steven Downey就曾遭此厄運。當時，她點開黑客發(fā)來的郵件里的鏈接，跳出一個偽造網(wǎng)站，登錄后，后臺惡意軟件記錄下她的賬號和密碼，里面的所有信息包括銀行賬戶和她的行為、短語習慣都被黑客獲知。最后，黑客冒充她給會計師要求轉賬騙走了近9萬美元。

如果密碼的問題僅止于此，我們其實還是有能力應對的。我們可以禁止不合格的密碼，告訴大家不要重復使用密碼，并培養(yǎng)網(wǎng)民對釣魚網(wǎng)站的風險意識。但是，我們沒辦法突破人類記憶的局限，這就使我們無法永久記清密碼，而且越難以破譯的密碼越難記。這就需要網(wǎng)站提供密碼重置服務且不能太麻煩，而這正是黑客“擺平”密碼保護的快捷通道。

霍南的例子就充分證明打客服電話重置密碼不安全。此事后，蘋果取消了電話重置密碼，但是不久紐約時報專欄作者David Pogue就被黑客通過網(wǎng)絡重置密碼成功。當時，他設置了3個安全問題：“我第一輛車是什么牌子”，“我最喜歡的車是什么牌子”和“2000年1月1日我在哪兒”。前兩個谷歌搜索可以幫上忙，而第三個，由于是新千年第一天，黑客猜他也像多數(shù)人一樣在“聚會”。