忘掉密碼正當時

將密碼記在大腦里的日子屈指可數了。幾年后，你也許可以使用手臂上的電子紋身，或者一旦吞服下去，可以通過胃壁發送密碼的藥丸，登錄你的在線銀行帳戶。

早已有了這類產品的實用原型。電子紋身具有柔韌彈性元件：平鋪在皮膚上的傳感器和天線。其工作原理是，你拿起電話或坐在電腦前時，天線將密碼發送到電子閱讀器。胃酸代替電池酸液，為小藥丸供電。這種小型裝置被設計成吞下食道后不久，以脈沖方式發送密碼，發送的密碼就會被筆記本電腦中的傳感器所接收。

研發此類新奇技術的動因源自一個日益嚴重的普遍性問題：讓你登錄到在線服務的現有驗證系統依賴密碼，而密碼其實不頂用。

無意義的、不現實的

密碼不頂用的原因有好多。倘若犯罪分子闖入在線密碼存儲庫（實為服務提供商的加密列表，內有所有用戶的登錄密碼），他們借助特殊軟件，就能破解成千上萬個密碼。近日肆虐的Heartbleed安全漏洞讓密碼不安全這個問題再次備受矚目。在過去的兩年，這個漏洞讓犯罪分子得以從我們訪問的許多常用網站獲取數據――其中一些數據可能含有密碼信息。幾家高科技公司現竭力勸告人們更改所有密碼，尤其是電子郵件、文件存儲和銀行等方面的密碼。

密碼還有可能被“釣魚”：如果用戶上當受騙，將密碼泄露給貌似合法網站的假冒網站，會出現這一幕。每月大約有50000個不重復的網站被釣魚，這導致每年的網上盜竊案值估計多達15億美元。人們還往往選擇容易記住的密碼。這意味著這些密碼很容易猜中。據加州一家安全公司Imperva聲稱，在一次安全事件中泄露的3200萬個密碼中，居然29萬個密碼是“123456”。

一個含有6個小寫字母的密碼根本用不了1秒鐘就能破解；而一個更長更復雜的密碼使用11個隨機的大小寫字母、數字和特殊字符，可能需要幾百年才破解得了。后者帶來的需要軟件處理的密碼組合多出好幾個數量級。密碼方面的規則很簡單：密碼越復雜，提供的安全性就越高。問題是，要求人們記住長長的、無意義的密碼組合又不現實。

用戶通常挑選同一個密碼用于許多不同的服務，這個做法并不明智。如果你在一個不重要的網站上注冊一個帳號，該網站被黑客攻擊，你的密碼說不定就會落入壞人手里，然后壞人就能闖入你的在線銀行帳戶。問題在于，人們實在有太多的密碼需要牢記，貝寶（Paypal）的首席信息安全官邁克爾·巴雷特（Michael Barrett）說。“10年前我跟消費者交流時，他們告知要記住4、5個用戶名和密碼。而現在他們告訴我要記35個該死的用戶名和密碼。”據征信公司益百利（Experian）在2012年的一項調查顯示，25歲到34歲之間的普通成年人通常有40個在線帳戶。

隨機數據

想克服這些缺點，一個辦法就是加強基于密碼的現有驗證系統，為此提供不止一種的用戶驗證機制。如果你使用生成數字的安全令牌，或者輸入通過SIM卡發送到手機上的隨機數字，就已經出現這一幕。貝寶提供這種“雙因子驗證”已有些年頭了。最近，谷歌、蘋果、Facebook、LinkedIn和推特等其他許多大牌互聯網公司為選用雙因子驗證的那些用戶提供了這項安全技術。

一些公司正嘗試將生物特征作為第二個驗證因子，充分利用智能手機上的攝像頭和麥克風，進行面部或語音識別，甚至用于虹膜掃描。但許多用戶擔心，生物特征數據本身會帶來一系列問題。不像密碼可以更改，聲紋和面部無法更改。有人擔心，要是網絡犯罪分子闖入某個網站，竊取生物特征信息，同樣這些信息就可能永遠被用來闖入依賴生物特征驗證的其他帳戶。然而，這種情況不可能出現，因為指紋數據通常結合隨機數據，根據你的指紋形成生物特征。所以，就算黑客獲取了你指紋的掃描，也無法闖入采用生物特征保護安全的網站。

可是存在一個問題，連雙因子驗證也不例外。雖然這給犯罪分子加大了難度，但用戶也不喜歡由此增添的麻煩。巴雷特說：“我們貝寶發現，如果你的目標市場很難打入，接受率大概只有1%到2%。如果你不積極營銷，那么只有0.1%的人才會接受。消費者只想一心購買，他們要求你做好安全工作。”

Fido已問世

為了讓用戶的網上生活更輕松，幾家公司已成立了一家組織，名為線上快速身份驗證（Fido）聯盟，創始成員包括貝寶、谷歌和電腦制造商聯想等。Fido的首要目標就是減小對密碼的依賴。

Fido系統的規范仍在開發當中，但有一點很清楚，它會使用一個名為驗證器（authenticator）的硬件。用戶將來能夠在希望登錄的每個網站登記使用該硬件。登記過程將涉及Fido驗證器和網站互換數字密鑰，數字密鑰讓彼此能夠識別對方。

作為用戶，如果你想從連接有驗證器的電腦訪問網站，或者從內置驗證器的移動設備訪問網站，仍得自報身份。不同的是，要向Fido驗證器自報身份，而不是向希望訪問的網站自報身份。一旦完成了這一步，Fido驗證器就可以向你保證安全。實際上，驗證器會告訴網站“你知道我，因為我能出示證明我是誰的數字簽名，我能保證誰在使用我的身份，因為我在我這邊驗證了其身份。”

研發Fido驗證器的研究人員希望驗證器與各種驗證機制協同使用：簡單的PIN碼、閃存盤上的指紋閱讀裝置，或手機上的攝像頭。該系統的主要好處是，沒有任何信息會遠程存儲起來：生物特征數據或PIN碼仍在Fido驗證器上。又由于數據不會通過互聯網傳送，所以數據不會存儲在可能被黑客攻擊的遠程網站上。這種方案還避免了需要又長又復雜的密碼來提供良好的安全性。要是Fido驗證器上PIN輸錯超過一定次數，該設備就會自行鎖起來，就像如今商業銀行的ATM那樣。重要的是，釣魚現象可能成為明日黃花，因為再也沒有人需要在網站上輸入密碼。

當然，任何系統都有其弱點。拿Fido來說，最明顯的安全漏洞就是在設置階段。為了正常工作，Fido系統就要依賴你在真實網站登記驗證器。但是如果你誤在釣魚網站上登記驗證器，會怎么樣？谷歌的安全工程師馬揚克·阿帕德海耶（Mayank Upadhyay）說：“為了避免出現這種情況，你必須在家里或信任的地方登記，并且需要集中注意力。如果你專注于另一項任務，又沒有集中注意力，到頭來會被釣魚。”

Fido的第二個缺點是，它沒有提供簡易的手段來吊銷丟失或被盜的驗證設備。阿帕德海耶表示，用戶不得不逐個聯系每個網站，以便取消驗證設備，這會導致黑客有可能冒充你、吊銷你的驗證設備，害得你無法進入自己的帳戶。

習慣性動物

可能Fido最飽受詬病的地方是，它仍沒有達到貝寶的邁克爾·巴雷特所說的用戶真正想要的安全：像貝寶這樣的網站為用戶做好安全工作。為了實現這個目標，在線服務商可能需要更頻繁地運用行為分析技術。IDC公司的安全分析師凱文·貝利（Kevin Bailey）解釋，這種安全技術有助于證實密碼確實被合適的人輸入。這類系統分析關于人的大量數據，根據使用習慣來識別他們。

你的位置、日常所用電腦的互聯網地址、甚至通常登錄的時間段，所有這些詳細信息都會用來驗證分析。連你的點擊流（擊鍵速度有多快、不同網頁上逗留的時間有多長）也可能成為表明你身份的詳細信息。要是任何這些因素讓網站有理由懷疑你的真實身份，它會阻止你處理任何敏感的事務，比如從銀行帳戶提取大額現金。

貝利預測，這種方法（他稱之為基于角色的驗證）會流行起來。他說：“你握持手機的角度、鍵入信息的方式，以及說話時所用的音調，甚至手機貼近的那只耳朵、耳朵離地面的高度，”都有可能用來增加驗證證據。

最終，驗證是電腦特有的問題。我們識別已經有關系的其他人時通常沒有困難，這就是為什么沒有人要求配偶或子女告知密碼，才可進入房子。這也就是為什么除非電腦能編程、像人類那樣學習，否則研究人員不太可能研制簡單可靠的驗證系統，供在線服務使用。貝利說：“自我學習和人工智能將有望讓電腦可以識別人類、驗證其身份，不需要人類做任何事情。”

在那天到來之前，如果你想迅速安全地登錄到在線帳戶，可能會被要求吞服一顆密碼藥丸。