密碼危機

2015-08-10 12:58:22

科學之友 2015年3期

關鍵詞：系統

網絡給人們帶來了巨大的便利，我們有了在線銀行、電子郵箱、微博、微信，還有各種云服務?？墒请S著賬戶不斷增加，它們的安全性卻越來越差，因為一串密碼早已無法保護我們的個人信息。

知道嗎？你有一個可以徹底毀掉你的秘密，一個保守得不太好的秘密。一串簡單的數字可能會透露你的一切，如果你比較粗心，這串數字只有6位，而如果你比較謹慎，這串數字可能是16位。

自從信息時代拉開帷幕，我們就想當然地認為精心設計的密碼可以保護隱私，可以保護你的郵箱、銀行賬號、地址、信用卡號，你孩子的照片或者更糟的是你的裸照，但是2012年這個神話破滅了，不管你的密碼設計得多么復雜多么獨特，都無法保護你賬戶的安全。

如今泄密和轉儲越來越普遍，黑客會侵入系統把所有的用戶名和密碼都曬到網上。現在人們習慣用郵箱作為用戶名，這很可能造成災難性的后果，由于我們把很多信息存放在云存儲器上，所以通過蒙騙客服重置密碼越來越困難，但黑客開始利用從網絡上獲取的各種公開信息侵入你的其他賬號。

不管你多么小心，也不管你的密碼多么復雜，都無法阻止一個處心積慮、充滿惡意的人侵入你的賬戶。

2012年夏天，黑客僅用了一個小時就徹底摧毀了Amy的數字生活。她的Apple、Twitter和Gmail的密碼設計得很好，分別有7位、10位和19位，都包含數字和字母，有的還有字符，但是這3個賬戶是相互關聯的，一旦破譯出一個密碼就可以輕松侵入其他賬戶。因為Amy有很多粉絲，所以這些黑客想要控制她的Twitter賬戶，拖延她找回密碼的時間，就通過Apple賬戶侵入了她所有的設備，包括iPhone、iPad和MacBook，并刪掉了上面所有的內容。

自那天之后，Amy就開始研究網絡安全，結果讓她驚出一身冷汗，“我們的數字世界真是太危險了。比如我想侵入你在美國在線（AOL）上的郵箱，我要做的就是向這個網站提供你的名字和一些個人信息，比如你出生的城市，這些資料在谷歌上很容易找到，然后AOL就會重置密碼，這樣我就可以隨意瀏覽你的郵件了?！?/p>

“猜猜知道這些后我會做什么？首先是查出你在哪申請了網上銀行，登錄點擊忘記密碼，然后重置密碼并重新注冊，這樣我就可以控制你的存款賬戶了?！北M管現在一些安全漏洞已經被堵住，但是還有很多問題存在，而且每天都會出現新的漏洞。

所有的問題都出自密碼。在電腦還不像現在這樣高度關聯的時代，密碼確實管用，然而今天不管你做什么，不管你多么小心，也不管你的密碼多么復雜，都無法阻止一個處心積慮、充滿惡意的人侵入你的賬戶。密碼的時代已經過去，我們只是還沒意識到而已。

人類很早就開始使用密碼，而它一誕生就開始有人破譯。

公元前413年，伯羅奔尼撒戰爭打得正酣，希臘將軍狄摩西尼率5000士兵在西西里島登陸，準備襲擊錫拉庫扎。形勢對希臘非常有利，而錫拉庫扎似乎必輸無疑。

狄摩西尼的軍隊在夜晚混戰中被打散了，為了重新集結，希臘人開始高喊事先約定好的用于區分敵友的暗號。錫拉庫扎人注意到了這個暗號，當遇到希臘人的大部隊時他們就會喊出暗號佯裝友軍。利用這條策略，弱小的錫拉庫扎人打敗了入侵者，這次戰役成為了那場戰爭的轉折點。

第一臺使用密碼的計算機是MIT（麻省理工學院）在1961年開發的相容時間分配系統（CTSS），為了限制用戶使用的時間，CTSS設定了一個登錄程序。1962年，為了獲得更多的使用時間，一個名叫艾倫·謝爾的博士生用了一個簡單的手段騙過了登陸系統，他找到了包含所有用戶名和密碼的文件，然后把它們打印下來，從那以后，他的上機時間不再受到限制。

網絡時代初期，密碼非常管用，這主要是因為那時我們需要保護的數據非常少，最多就是郵箱和幾個電商網站的賬戶。那時獲取個人信息也不容易，而且侵入私人賬戶沒有意義，真正的黑客都把目標鎖定在大公司的信息系統。所以我們開始放松警惕，郵箱地址變成了一種通用的登陸方式，幾乎成為所有賬號的用戶名，即便當我們的賬號數量瘋狂增長后，依然如此?，F在我們通過郵箱地址進入一系列云服務，在那里我們處理銀行業務、查看交易記錄、進行稅務處理，我們甚至開始在那里儲存自己的照片、文件和數據。

最終，當侵入個人賬戶的情況愈演愈烈，人們開始尋求一種奇怪的心理安慰：他們開始尋求更安全的密碼保護，這也成了很多網絡公司吸引人們在其網站注冊并儲存信息的噱頭。

面對現實世界，任何一個安全系統都必須做出兩樣妥協。

一是方便，如果難以登陸，那么最安全的系統并不意味著就是最好的，256位的十六進制密碼可以確保安全，但你可能永遠無法進入自己的賬戶。如果你不怕麻煩，提高賬戶的安全性非常容易，但這并不可行。第二個妥協是隱私，如果只考慮系統安全，那么任何用戶都無法忍受在使用過程中對隱私的踐踏。設想一下在你的臥室里安裝上門禁會怎樣？那里原本不需要鑰匙或者密碼，因為安全技術應該全天候應用在大門上，當確認是你后門禁自動取消。理想情況下，如果沒有隱私，那么賬戶將非常安全，但是沒有人會接受這樣的系統。

20年來，各大網絡公司對這兩點作出了巨大的讓步，為了吸引用戶，他們的系統設計既保護了人們的隱私又使用方便，然而安全性卻大打折扣。作為彌補措施，他們建議把密碼設計得更復雜，只要密碼足夠長、里面既包含數字又包含字母，再加上標點符號，那就萬事大吉了。

然而事實并非如此?，F在一臺筆記本的處理能力比10年前的一臺高端工作站都強，破解一個長密碼輕而易舉，而且新的黑客技術層出不窮，盜取我們的密碼猶如探囊取物，更重要的是黑客可以完全不用密碼直接攻擊我們的賬戶，因此不管密碼設計得多長多復雜都是徒勞。

為什么我們的密碼會如此不堪一擊？

讓我們設想下黑客可能的手段：他們猜的、從一次密碼泄露事件中獲取的、破解的、通過鍵盤記錄器盜取的或者是欺騙客服重置了密碼。

讓我們從最簡單的黑客手段說起：猜測。事實證明，粗心大意是網絡安全最大的敵人。盡管被反復警告，很多人還是會使用容易被預測的密碼。安全顧問馬克·伯內特編制了一本包含10000個最常用密碼的小冊子，他發現人們最常用的密碼就是“密碼”（注：英文的password），其次是什么？沒錯，就是123456，如果你用這樣的密碼，侵入你的賬戶簡直是小菜一碟。利用一些免費的軟件，傻子都能破譯密碼，你要做的就是從網上下載一份常用的密碼清單。

可令人震驚的不是我們還繼續用這些密碼，而是一些公司仍然準許使用，他們應該阻止這些常用的密碼被設定為密碼，但是即便改掉了這個壞習慣，我們的密碼仍然不安全。我們普遍犯的另一個錯誤是重新使用密碼。研究發現，49%的人會在兩次黑客襲擊中使用同樣的用戶名和密碼。

谷歌認證系統工程師戴安娜-斯莫特說：“重新使用被盜密碼是最讓我們頭疼的事情。”通常把用戶名和密碼貼到網上的黑客還算好的，有些人會把這些信息偷偷地出售。你的賬戶很可能已經被侵入，但是你卻毫不知情，直到這個賬戶或者另一個用同樣密碼的賬戶被毀以后。

黑客還會通過一些手段來獲取密碼，最有名的技術就是釣魚，通常他們會模擬一個人們熟悉的網站，然后要求用戶輸入登陸信息。Shipley Energy的CTO史蒂夫·唐尼告訴我一個關于這項技術如何侵入他們公司一位董事賬戶的例子。為了保護其郵箱，這個董事設了非常復雜的密碼，但是如果能讓用戶主動提供密碼，你根本不需要去破解。

黑客給她發送了一個偽造的AOL網頁并向她詢問密碼，她照做了，此后一直相安無事。最初黑客一直潛伏著，他閱讀了這位董事所有的郵件并逐漸對她有了了解，黑客知道了她把錢存在哪個銀行，她雇傭了一個會計師幫她打理財務，黑客甚至知道了她使用電腦的習慣，她常說的話和常用的問候語。終于有一天，黑客給她的會計師發了郵件，要求分三筆給黑客在澳大利亞的賬戶轉12萬美元，而當這位董事發現的時候已經轉走了8.9萬美元。

使用病毒軟件是更為惡毒的盜取密碼的辦法，將病毒植入你的電腦然后偷偷把你的數據傳給別人。根據威瑞森的報告，2011年有69%的數據泄漏事件都是因為病毒軟件的攻擊，這些病毒在Windows系統中傳播，現在越來越多的開始在安卓系統中傳播。這些病毒的工作原理是在你的電腦上安裝鍵盤監視軟件或者其他間諜軟件，這些軟件可以看到你輸入的東西或者是瀏覽的網頁。它們的目標通常是大的機構組織，目的不僅僅是偷密碼，而是要侵入整個系統。比如，2007年出現的ZeuS就是一種非常厲害的病毒，通常釣魚軟件會發送一個詐騙鏈接，只要點擊一下，病毒就會自動安裝到你的電腦里，然后這個軟件就等著你登錄網上銀行或者其他賬戶，只要你進行這樣的操作，ZeuS就會記住你的密碼，然后發送給守候著的黑客。

如果密碼問題僅限于此，那我們還是可以應對的。我們可以不用被貼出來的密碼和用戶名，我們可以對釣魚軟件更加警惕，我們還可以用殺毒軟件把病毒都消掉。

但是我們還必須應對最薄弱的環節：人類的記憶。為了不被破譯或者猜出來，密碼必須非常復雜。但是如果密碼過于復雜，你很可能會把它忘掉。因此，很多基于密碼的系統都可以幫助你重置密碼，這種不得不做的妥協意味著恢復一個被遺忘的密碼不能太難，然而這又讓你的賬戶很容易被社交工程手段攻擊。盡管“社交”手段只占黑客攻擊事件的7%，但是其盜取的數據卻占37%。

也許你會認為這種事不會發生在自己身上，只有名人才會惹人關注，但是你有沒有想過，你的LinkedIn（領英，全球最大的職業社交網站）賬戶、Facebook或者其他親朋好友的賬戶？如果你經常上網，那么回答你的問題并不困難。你媽媽的名字、你高中的吉祥物、你的生日以及你最好的朋友都可以在相應的社交網站被查到。

到底是誰這么不遺余力地要毀掉你的生活？

那么，到底什么人會做這些事？這些人大致可以分為兩類，海外犯罪團伙以及討厭的孩子，不管哪一類都讓人緊張。

犯罪團伙效率高而且非常頻繁。曾經寫惡意軟件或者病毒程序只是一些黑客的業余愛好，但現在不是了，最近幾年早已演變成了有組織的犯罪。他們的動機非常簡單：錢。

一些年輕人也讓人頭疼，盜取Amy賬戶的人是一個綽號“Dictate”的14歲孩子。和傳統意義上的黑客不同，他只是和網站聯系要求重置密碼。他們這樣的人會從網上先搜集你的信息：你的名字、郵箱、家庭地址等，這些都很容易找到。然而，他們用這些信息重置你在Hulu和Netflix的密碼，從中再獲取更多的信息，比如你信用卡的后四位數字。一旦他有了這個數字就可以進入你的AOL、微軟以及其他重要賬戶，而且通過不斷地嘗試，他很快就能看到你的郵箱、照片和其他重要文件。為什么這些孩子會這樣做？大部分是為了惡作劇，他們最喜歡做的事就是在你的個人賬戶上發布種族歧視言論或者其他攻擊性的信息。

有這些孩子在，密碼系統就不會安全。我們不可能把他們都抓起來，就算可以，也還會有新人出現。任何適合65歲人的密碼系統幾秒鐘就會被14歲的黑客攻陷，這就是我們面臨的難題。

基于同樣的原因，很多人們想出來保護或者彌補密碼問題的高招都變得無效。經常有人說，Gmail的雙重認證非常神奇，首先你必須在谷歌注冊你的手機號，然后只要你在一個陌生的IP地址登陸，谷歌就會發一個附加碼到你的手機上，這就是第二重保護。這樣就有效了嗎？讓Amy來告訴你馬修·普林斯的遭遇。

2012年夏天，黑客盯上了CloudFlare的CEO普林斯。他們想侵入普林斯的谷歌賬戶，但是這個賬戶有雙重保護，他們是怎么做的？首先黑掉他的AT&T手機賬戶。AT&T使用社保號作為密碼，只要給運營商這9位數字甚至只需要4位，外加姓名、電話號碼以及郵寄地址等信息，就可以實現呼叫轉移，而現在獲取社保號碼太容易了，這些號碼在網上公開售賣，而且想要誰的都有。侵入普林斯的AT&T賬戶后，黑客要求谷歌的客服重置普林斯的密碼，而谷歌的確認信息轉到了黑客那里，總之就是這么簡單，雙重保護只是給黑客添了點麻煩而已。

互聯網上沒有秘密，只要點擊幾下鼠標就可能知道一切。

密碼的時代已經過去了，只是我們還沒有意識到，沒有人知道未來該朝何處發展，但是可以肯定地說，僅通過一個秘密已經無法保護我們的數據了，不管這個秘密是一串數字、十串數字或者是回答50個問題。

我們的安全系統應該圍繞用戶來設計：我們是誰，我們做了什么，我們什么時候去了哪里，我們身上帶著什么或者在什么地方做了什么等。每一個重要的賬戶都需要提供多個信息，不能只有兩個更不能只有一個。

最后一點至關重要，谷歌的雙重驗證思路很好，但是他們應該繼續推進，因為雙重保護顯然不夠。想一想當你在街上看到一個人，覺得他可能是你的一位朋友，你不會和他要身份證驗證。你會有一個綜合的判斷，他換了新發型，他穿的是自己的夾克嗎？他的聲音變化了么？他是在自己經常出沒的地方嗎？如果這些線索都不匹配，你不會只相信他的身份證，即便看上去很像，你也會覺得他是冒牌的。

未來的網絡身份驗證系統應該這么設計，盡管仍可能包括密碼，但其功能就像上面說到的身份證，密碼只能是多重驗證系統中的一個。

生物鑒定法可行嗎？也許是電影看多了，很多人認為指紋識別或者眼角膜掃描可以取代密碼的功能，單一驗證并且可以迅速識別，但是這兩個方法都有缺陷，首先支持它們的系統并不存在，這就像一個雞生蛋還是蛋生雞的問題，指紋識別和眼角膜掃描系統價格昂貴而且經常出問題，因此沒有人用，而正因為沒有人用，所以它們永遠不會變得更好更便宜。

第二個也是最重要的問題是單一驗證系統存在的硬傷：指紋識別或者眼角膜掃描只能提供單一的數據驗證，而單一數據很容易被盜取。盡管眼角膜識別在電影里看著非常炫，但在高清晰攝影時代，如果用你的臉、眼鏡或者指紋作為單一驗證手段，就意味著任何人都可以侵入你的賬戶。

這是危言聳聽嗎？絕對不是。凱文·米特尼克開了家網絡安全公司，他曾是FBI通緝的黑客。有一家公司雇傭他闖入自己的系統，然后告訴雇主他是怎么做的。該客戶使用了聲音識別系統，為了進入系統，你必須重復一段隨機產生的數字，同時保證順序和說話者的聲音是匹配的。米特尼克給他的客戶打了電話，并記錄了談話內容，期間他誘導客戶說了從0～9的所有數字，然后他對錄音進行了處理，并在識別系統前播放錄制的數字讀音，安全系統就這樣被輕易攻破了。

當然，并不是說生物鑒別毫無用處，需要生物驗證的設備還是要使用它們。但是，如果你要從一個陌生的地方登錄自己的銀行賬戶，那就要更多的步驟，你可能對著麥克說一段話然后進行匹配，或者用手機相機抓拍你的臉部照片發送給3個好友，必須有其中一個人確認后你才能進行下一步的操作。

谷歌公司正在朝這個方向發展，除了雙重驗證以外，他們還要看每次登錄和上一次的相關性，比如地點、設備以及其他谷歌沒披露的信息。如果發現異常，谷歌將要求用戶回答賬戶預設的問題，如果無法回答問題，谷歌將發送消息給用戶要求他改變密碼。

新的認證系統很可能會要求我們在方便和隱私方面重新作出權衡。顯然多重驗證不方便，為了進入賬戶，你必須完成很多步驟，但更重要的是你必須犧牲更多的隱私，安全系統可能要獲取你的位置、愛好、講話方式甚至是關于你的一切。

為了更好的身份驗證，我們必須作出妥協、有所犧牲，我們不可能回到過去，放棄云服務把自己的信息都裝到硬盤里，我們需要一個認證系統確保我們繼續享受云技術。這可能需要巨額投資并帶來極大的不便，同時讓注重隱私的人不安，但已經無法避免?，F在我們把自己的一切都交付給一個不安全的系統，因此第一步是要正視現實，第二步則是要改變它。