密碼的替代品

僅過去一年間，超過20億個賬戶的記錄被網絡罪犯竊取。單純這一數字或許還不是很可怕，更高的風險在于，很多人使用相同的密碼管理自己所有的賬戶。許多年來，專家一直呼吁，應該為每一個賬戶設置不同的密碼，并且每一個密碼都要足夠長，并包含特殊字符、大小寫字母和數字。可以理解，許多用戶都認為這實在是太麻煩了，為此，為了盡可能地確保用戶賬戶的安全，安全行業必須開發更多額外的驗證技術。不過，不要以為這些新的驗證方法就是牢不可破的，其中大部分仍然是可以被破解的，真正安全的密碼替代品并不是沒有，但仍在開發之中。

與此同時，很多服務也開始提供更多的安全措施：兩步驗證。在這種驗證方式下，要通過驗證，除了需要正確的密碼之外，還需要一個通過短信或者智能手機應用程序收到或生成的驗證代碼。兩步驗證方式明顯地提高了安全性，但它同樣有可能受到黑客的攻擊。最常見的方式是利用鍵盤記錄器，攻擊者首先通過網絡釣魚等方式入侵目標電腦，并在受害者的電腦上植入鍵盤記錄器等惡意軟件，不僅可以讀取用戶的賬戶密碼，同時也捕獲兩步驗證的驗證碼。接下來攻擊者可以通過中間人攻擊登錄到用戶的賬戶，獲取需要的信息或者直接更改賬戶密碼。

另外，大部分網絡賬戶設有忘記密碼時取回密碼或者賬戶的選項，許多用戶設置的問題都非常簡單，例如母親的姓，攻擊者只需要略做一些調查，即可獲得這些信息并取得賬戶的控制權，根本不需要通過兩步驗證方式登錄。此外，入侵移動系統是非常簡單的事情，除了網絡釣魚等方式之外，類似BadUSB之類的惡意軟件，只需要移動設備連接到電腦上充電即可感染。在智能手機被入侵的情況下，攻擊者可以選擇通過智能手機獲取兩步驗證的驗證碼，也可以選擇直接通過智能手機嘗試取回賬戶密碼等方式獲得賬戶的控制權。

無需手機的雙因素密碼

要防止針對兩步驗證方式的攻擊，可以考慮不使用手機作為第二驗證因素，改為通過特殊加密的“通用第二因素”（Universal Second Factor，簡稱U2F）標準USB密鑰。以登錄Google服務為例，當登錄過程中Google要求輸入第二因素的驗證碼時，USB密鑰將可以生成它。在這個過程中，數據的傳輸完全是加密的。但USB密鑰也不是完全沒有問題的：如果USB密鑰被盜，攻擊者同樣可以使用它，因為U2F標準沒有為USB密鑰設置安全驗證。當然，攻擊者還需要知道用戶的賬戶密碼，不過，這個對于攻擊者來說難度要低很多，而且事情到了這一步，事實上雙因素密碼保護措施實際上已經宣告失敗。除此之外，在一些服務中，誰擁有USB密鑰誰就可以重置賬戶密碼。

如果不希望隨身攜帶USB密鑰，也可以考慮依靠生物特征識別和身份驗證技術。現如今人臉識別非常受歡迎，通過一個內置相機的設備捕獲用戶的圖像，存儲用戶臉部的生物特征用于身份驗證，例如眼睛之間的距離。雖然人臉識別聽起來簡單、安全，但是它也有一些漏洞。例如來自混沌電腦俱樂部（Chaos Computer Club）代號為Starbug的黑客所展示的方法，通過一張攝像機前用戶的照片，即可解鎖電腦和登錄在線服務。因而，新一代的生物識別驗證系統必須通過“生物檢測”技術來避免這一漏洞，例如要求用戶眨一下眼睛。然而，黑客可以非常容易地克服這些障礙，例如在照片的前面上下移動一下筆。雖然這種破解方法不是總能生效，但對于類似Android的人臉檢測之類的很多軟件解決方案它們通常都可以奏效。

另一種生物特征身份驗證技術虹膜識別可以提供更高的安全性，同時也支持U2F標準。該技術通過攝像頭掃描人的眼睛虹膜，并把它作為驗證特征。以往，只有專業的解決方案提供虹膜掃描設備，而現在低成本的消費者版本已經推出，甚至在Windows 10中也已經支持虹膜識別驗證登錄。虹膜識別是非常安全的，1 500萬次驗證中只有一次錯誤報告。虹膜掃描儀的制造商投放的廣告基本上將其介紹成一種牢不可破的驗證技術，但實際上通過分辨率非常高的照片仍然有可能突破防線。例如，從5m左右的距離拍攝德國聯邦總理安格拉·默克爾的照片，那么黑客有可能打印虹膜細節用于突破虹膜識別系統。專家警告說，普通的虹膜識別系統是可以破解的。

常用生物特征識別和身份驗證技術中指紋掃描是較難以破解的，因而，許多手機、電腦都采用指紋掃描技術，但是指紋掃描同樣不是牢不可破的，2013年9月混沌電腦俱樂部的黑客花費幾十元買了一點石墨、透明膠片和膠水，輕松地騙過了iPhone 5S的手指掃描儀。除此之外，混沌電腦俱樂部的黑客還表示，通過照片重建指紋同樣可以實現類似的效果，并通過德國前國防部長烏爾蘇拉·馮·德萊恩的照片進行示范。當然，實現類似的攻擊需要大量符合條件的照片，但是這已經足以證明指紋掃描的所謂安全性是具有欺騙性的。

到目前為止，最安全、最成熟的生物特征識別和身份驗證解決方案是靜脈檢測，這種驗證方式通過紅外光裝置檢測手部血流的特征進行驗證。該驗證技術僅有讀取裝置是不可能被攻擊的，黑客需要嘗試將其中的數據流轉到電腦再進行處理，實現類似的攻擊是非常困難的。不過，靜脈檢測驗證的設備非常昂貴，通常只有需要極高安全性的大公司和政府機構才使用這種身份驗證技術。

心率作為密碼

另外有一些生物特征識別和身份驗證技術是基于物理特性的，例如通過專用心臟傳感器記錄一種特殊的心電圖，通過每個人不同的心臟泵血大小和位置作為識別特征。該技術已經完善，能夠準確地識別用戶，并允許心臟肌肉出現生理變化，例如尺寸和肌肉位置的變化，也能夠識別生物特征頻帶的載體由于應力產生的改變以及物理病變或疾病的影響。

率先啟動心臟檢測的是一家名為Nymi的加拿大公司，該公司采用臂帶測量心臟速率，通過兩個電極記錄皮膚電導和電壓的細微變化，并將這些信息記錄下來用于輔助心臟檢測。在用戶需要驗證身份獲得授權時，可以讓設備檢測用戶的心臟活動，如果識別為正確用戶，臂帶將把此前預先保存的一個加密密鑰通過加密的藍牙連接發送到兼容設備，例如智能手機或電腦。

目前，該公司已發布了一個程序員開發套件，一個消費者版本計劃于2015年年內推出。這種生物特征識別技術的優勢在于，攻擊者很難騙過檢測設備。根據Nymi的介紹，攻擊者確實很難偽造相關的數據，即使攻擊者能夠模擬用戶的脈搏，也無法模擬其他相關的各種數值。根據Nymi公司的介紹，他們認為成功的攻擊手段或許不是絕對不可能有，但是必須耗費大量的時間和精力。而盜取用戶的臂帶是沒有意義的，因為數據鎖或外殼被打開后臂帶將自動鎖定，只有在正確檢測心臟數據后才能夠再次激活。

在未來記住你的密碼

伯克利大學正在研究一種比心臟檢測更安全的生物特征識別技術，通過腦電圖傳感器檢測腦電波，能夠發現用戶是否記得正確的密碼。這里所說的密碼不是字母和數字之類的組合，而是一個腦力任務，類似某種特殊的手勢或者某一曲調。用戶可以根據自己的喜好選擇任何形式的密碼，因為由此產生的腦電波才是被檢測和識別的特征。但是預計需要再過幾年，腦電波檢測技術才可以服務于公眾，因為該技術需要若干臺電腦來評估腦電圖。該技術目前被認為是安全的，因為攻擊者實在很難實施攻擊：既需要為受害者接上腦電圖檢測電極，還需要讓受害人想起自己的密碼。

將來有一天，掃描眼睛視網膜也可能會是一個非常安全的密碼替代品，該技術將通過紅外光掃描記錄眼睛血流方向等信息，這些數據對于每一個人類個體來說就像是DNA一樣的特別。不過，批評者認為，該技術存在一定的攻擊性，目前還沒有關于長期掃描視網膜是否有不良影響的研究。

訪問控制部分，專家的意見認為未來會通過DNA實現，盡管目前還沒有DNA檢測的消費產品。由于沒有任何人的DNA是百分百的相同，所以毫無疑問通過DNA驗證身份極為可靠，但是目前仍然缺少低成本的DNA檢測方法，雖然通過皮屑或毛發就可以檢測DNA，但也只有裝備精良的實驗室可以做到。另外，DNA檢測用于替代密碼，還需要解決一個問題，那就是如何才能夠避免攻擊者用盜取的頭發或其他包含用戶DNA的物件解鎖。

英國牛津大學研究人員也利用DNA作為密碼替代品，不過，他們不需要實驗室檢測DNA。他們的方法是，通過每一個人使用電腦時按鍵盤的習慣，也就是研究人員所說的所謂電子DNA來識別和驗證用戶身份。據Oxford BioChronometrics公司的首席執行官大衛·謝克爾介紹，每一個人的電子DNA都清晰可辨。該項目仍處于研究階段，但是據著名的安全專家克里斯·米切爾介紹，這樣的密碼替代技術并不到位，因為電子DNA需要持續的監測，通過用戶的行為識別和驗證用戶身份。不過，該方法的優點是它不需要昂貴的傳感器，同時它也很難破解。

責任編輯：金雅文jin_yawen@chip.cn

收稿日期：2015-09-20

技術

從未改變密碼

幾乎一半的用戶從來沒有改變自己的賬戶密碼，只有約十分之一的用戶遵循安全建議，每兩到三個月設置一個新密碼。

你經常改變在線密碼嗎？

虹膜和視網膜掃描

虹膜（左）可以通過簡單的手段被復制，例如通過高分辨率照片，掃描視網膜（右）被認為是最安全的密碼替代方法之一，但是紅外掃描是否損傷眼睛仍未可知。

靜脈識別

掃描儀使用紅外光掃描手背靜脈，血流的過程中可以通過反射光讀取，該方法被認為是可廣泛應用的最安全生物識別技術之一。

檢測心率

新的生物識別技術包括心臟的脈沖和心電圖，因為每一個人的心臟工作模式不同，通過這種檢測可以準確地識別用戶的身份，消費者版本的檢測設備預計將于2015年年底進入市場。

備選方案

今天的技術

目前，為了更安全地訪問在線服務，例如Google，首先我們必須啟動兩步驗證功能，其次是使用加密的USB密鑰。

在通過密碼驗證之后，需要輸入通過智能手機應用程序或短信獲得的驗證碼，用戶才能夠登錄。

插入“通用第二因素”（Universal Second Factor，簡稱U2F）標準的USB密鑰驗證和登錄。

明天的技術

研究人員正在不斷開發新技術，這些技術有望成為密碼的替代品，不過，它們還需要一些時間才能夠正式進入市場。

目前，摩托羅拉正在測試密碼藥丸，通過用戶的胃酸產生動力，通過身體發出的16位密鑰用于驗證身份。

Nymi臂帶通過心臟檢測，以心臟的心電圖等信息作為識別的生物特征，目前該裝置正在開發，即將投入市場。

通過頭部的傳感器讀取腦電波，將用戶想象一個具體事物時產生的腦電波作為身份識別的生物特征。

在遙遠的未來，人類DNA有望被用做密碼，但是目前缺少低成本的DNA讀取方式，作為驗證方案也有一些細節需要完善。

密碼管理器

你只需要一個密碼

在生物特征識別技術可靠并適用于普羅大眾之前，我們應該考慮使用密碼管理器，這樣我們只需要記住一個主密碼即可。

Windows

Password Safe Personal可以管理多達20個數據記錄，并提供密碼生成器以便幫助用戶創建安全的密碼，并提供確保密碼數據安全的備份功能。

MacOS

蘋果桌面系統的密碼管理器可以考慮KeePassX（www.keepassx.org），該軟件開放源代碼，因而我們不必擔心它是否有什么不為人知的后門，同時，該軟件對數據的加密方式被認為是安全的。

iOS

使用SecureSafe，我們可以將密碼在線保存在一個瑞士的服務器上。美國國家安全局無法像訪問美國服務器一樣隨意地讀取其中的數據，而且我們還可以使用一個實用的附加功能：傳輸加密數據。

Android

LastPass除了具有密碼管理功能之外，還可以擴展成為一個安全的瀏覽器，通過該安全瀏覽器上網，其他Android應用程序無法窺探這個瀏覽器中的數據。如果我們在智能手機上訪問網上銀行，那么應該考慮使用它。

確保主密碼安全的5個注意事項

根據以往數據泄漏的情況顯示，密碼的長度最少需要10個字符。

為了防范字典攻擊，我們應該避免使用攻擊者可能用作字典的內容作為密碼，避免人名、地名和已知單詞，將密碼英文字母的部分輸入Google進行測試，如果沒有任何結果，那么這是一個好密碼。

不要使用任何看起來相時關的特殊字符來替換字母，例如使用“@”替換“A”。在進行暴力破解時，類似的替換方式早已在攻擊者的預料之中。

我們可以通過兩句話來組成一個好記并且安全的密碼。例如，“我車牌號碼KM-XX-999的車停哪了？”和“在我的車庫！”，它們可以組成密碼“wcphmKM-XX-999dctnl？zwdck！”。

不同的服務不要使用相同的密碼，并且堅持每兩到三個月修改一次密碼。