敢让我猜猜：你上网用的所有密码——。网银，邮箱，网购，twitter和facebook登录密码3354在你脑子里一片混乱。

你也很清楚，在访问不同的网站时，一定要选择一串不同的字母、数字和顺序复杂的符号作为密码，然后记忆下来。我们祖先的智慧教会了我们密码码的第一条规则：永远不要写下密码。

但是你不会真的去做，因为你知道你的大脑没有这个能力。于是你选择用熟悉的词注册每个网站：比如你自己的狗，你所在街道的名字，加上几个临时的排列，比如结尾的“123”。也有可能你真的遵守了那个规则，所以经常在登录银行账户的时候被锁起来，或者不停的回忆各种可笑的安全问题的答案。(“你小时候最喜欢的运动是什么？”现在问我这个问题，我小时候最喜欢的“运动”就是想办法翘体育课。iTunes的另一个问题是询问客户他们“最不喜欢的汽车”是什么。)

最可怕的是，近几年你都会被强制设置大小写混合的密码，但哪个正常人能记住这样多种组合的排列？至少不会是你。

如果你觉得你的密码太糟糕，我有一个让你不那么内疚的理由：这样糟糕的密码很常见。

上个月，PIN密码泄露事件的分析报告显示，约有十分之一的人会选择“1234”作为自己的密码；最近，雅虎的安全漏洞。还透露，成千上万的用户设置了密码，要么是“密码”，“欢迎”，“123456”或“忍者”。人们总是设置糟糕的密码，甚至用它们来保护比自己的存款更重要的东西。大多数军事专家都知道，在冷战高峰期，美国核弹的“解锁码”竟然是0000000。5年前，《新闻之夜》还透露，1997年以前，英国一些核弹的钥匙锁本质上是自行车锁。至于如何选择让弹头在空中爆炸还是在地面爆炸，用宜家的内六角扳手就可以了。而且这些根本不是密码。当遇到敌人攻击时，迅速反击比什么都重要。

我们的密码危在旦夕，这成了邪恶的黑客和“挂羊头”的安全测试人员之间一场又一场的“军备竞赛”。但只要和那些专业人士聊一聊，就会知道，我们祖先的智慧其实是值得商榷的。例如，写下密码可能是个好主意。有些老板会命令员工每90天换一次密码，这可能不是为了提高安全性，而是为了给自己找麻烦。同样的事情也发生在一些银行的密码设置规范中：密码不能超过12个字符，不允许有空格键等等。隐藏在所有规定中的真相是，密码3354作为一种在互联网上保护人们私人信息的方式，最终还是被从根本上违反了。

有一次我给经验丰富的网络安全研究者Bill Cheswick讲课，问他有没有办法一劳永逸的解决这个问题。他想了一会儿，然后建议道：“干脆烧了你的电脑，去海滩吧。”虽然你的脑子可能已经乱了，但还是有办法做到既安全又不失去理智。只是这个方法和以前别人教你的不一样。

密码破解的方式多种多样，但最重要的一种是蛮力攻击，而不是歪门邪道。例如，有一个黑客潜入一家公司的服务器，窃取了一份写有数百万份秘密订单的文件。这个文档(希望)是加密的，所以他不能直接登录这个账户。假设文件中的密令是“hello”(当然没那么简单)，它会被加密成文件中类似“$ 1 $ r 6 t8 sub 9 $ qxe 41 fjyf/3 gkpiuvkoq 90”的字符。 他不可能只是解锁代码，因为他知道文件是“单向加密”的。他能做的，只是在同一个加密算法中加入几百万种可能性进行测试，直到其中一个密码刚好中奖，结果与那一系列乱码一致。只有那时他才会知道他找到了密码。(有一种额外的加密技术叫做“salting”，可以阻挡这种攻击，但不清楚有多少公司实际使用这种技术。)这时候密码长度可以产生你想象不到的效果。假设一个黑客的电脑每秒钟能猜出1000个密码组合，五个纯字母，完全随机，全小写，比如“fpqzy”。最多需要3小时45分钟才能破解成功。现在，如果密码设置为20位，破解时间自然会增加：需要650万万亿年。

现在有一个人工预测的问题。毕竟没有人能想出一个完全随机的字母和数字的排列组合。取而代之的是，人们会遵循一些自然规律，比如使用一些已有的单词，然后用数字0代替字母O，或者在姓氏后面跟随上一年。黑客也知道这一点，所以他们的破解软件会结合这些规则进行猜测，从而有效减少时间，快速猜测目标。每一次都可以在一百万个密码中出现一个新的漏洞，就像2010年的Gawker事件和今年的雅虎事件[注1]一样，而每一次黑客都可以有效地学习到关于人们密码设置的新知识，这也让他们更容易破解密码。你可能认为你足够聪明，可以想出一个设置密码的绝佳方法，但是黑客已经很熟悉了。

所以，最不可能破解的密码是一长串完全随机的字母、数字、空格和符号。如果你真的要这样设置.你不能背下来。

然而，既然长度如此重要，你会发现一个惊人的事实：一长串不规则的英文单词，全是小写的3354，比如“awoken wheels垂钓鸵鸟”，比本来就很短、遵循银行烦人规则的密码(比如M@nch3st3r)要安全得多而且这个密码更容易记住，因为你已经在记忆里建立了一个画面：一群嘈杂的轮胎吵醒了一只在河边钓鱼的鸵鸟，不是吗？

正如去年流行的家乡漫画《XKCD》发表的一篇漫画明确指出了这一论点：“经过20年的努力，我们已经成功地让大家练就了一门‘密码设置好了，没有人能记住，但电脑能猜出来’的好功夫。”

而事实上，比这还糟糕。因为密码太难记，所以人们发明了“密码恢复”，其中的安全问题简单到连黑客都能回答。这就是莎拉佩林的个人电子邮件在2008年被黑的原因：入侵者猜对了她的邮政编码和高中名字。另一个与账户恢复有关的缺陷也导致了今年8月黑客对《Wired》杂志作者Mat Honan Huo的恶性攻击。几名黑客成功占领了他的谷歌账号，以他的名义在推特上发表种族主义言论，远程清空了他笔记本电脑、手机和iPad中的所有信息。后来，其中一名黑客通过网络给霍南留言，告诉他这一切的发生是因为Amazon.com的客服热线很乐意提供他信用卡账户的后四位数字，而在苹果的客服柜台，仅仅这四位数字就可以用来重置他的苹果iCloud账户密码。

有一些网站会让你使用passphrase，就是刚才那种“钓鱼鸵鸟”。但是大部分网站都不这么做。在这种情况下，许多安全专家认为，人们应该无视银行的规定，写下密码。他们的逻辑其实很简单：因为你觉得写在纸上不靠谱，就会想到一个折中的办法，最后你会选择最不安全的密码。 (同理，有些人会建议甚至要求你定期更换密码，但实际上，你要记住的密码越多，你就越会被迫选择更简单的密码。“我有68个不同的密码，”微软安全专家Jesper Johansson在几年前的一次会议上说。“如果他们禁止我写下来，你猜我会怎么做？我肯定会给所有账号设置相同的密码。”密码学家布鲁斯施奈尔(Bruce Schneier)也主张人们写下密码。他指出，大多数人实际上可以保证几张小纸片的安全。无论你的配偶还是你的室友是否可信，你都绝对有能力推测这种安全问题。但是很难预测俄罗斯黑客组织会不会威胁到你的银行账户。

我把这种意见告诉了尼尔艾特肯(Neil Aitken)，他是英国支付委员会(负责监管银行间转账系统、连接网络等事务)的发言人。听完之后，他显得很平静。他解释说，问题的关键在于《欺诈法》强制银行客户履行一些义务。如果你只在乎保护你的密码，这个时候，如果有人窃取了你账户里的金额，法律会认定你“犯了严重过失”，这样你的钱就很难拿回来了。“你可以拥有世界上最难的密码之一，但如果你告诉别人，你就会毁掉它。”因此，该委员会强烈建议英国顾客不要写下自己的密码或告诉他人。

双方各持己见。这就是安全的麻烦所在：你必须权衡利弊。越方便越不安全；你对远程攻击防范得越紧，你狡猾的室友就越有机会乘虚而入。你愿意在金钱上冒稍微大一点的风险(虽然很难量化)，还是让自己陷入长期的密码攻击？这种问题复杂到可以问你“你最不喜欢的车是什么？”

和很多人一样，比尔切斯维克(Bill Cheswick，被朋友们称为切斯维克蓑衣网小编2022)坚信我们的社会正陷入密码的混乱。与其他人不同，他觉得自己对此负有部分责任。1994年，作为ATT虚拟研究部门——贝尔实验室的一员，他与人合写了一本书。书名耐人寻味：《防火墙与网络安全：击退狡猾的黑客》。(他曾提出“代理服务器”的概念，这也成为他在互联网圈被称为“半人半神”的原因之一。这本书奠定了现代网络安全的基础。但是现在，他说，当我们都在曼哈顿的咖啡馆见面并上网时，密码变成了“倒钩！谁能知道这么多东西？”这个话题总能让切斯维克活跃起来。虽然他通常是一个滔滔不绝和热情的家伙，但这次他会要求桌子对面的人从笔记本上抬头看他。“有这么多规则！你得把符号、大写、数字混合起来……”

蔡斯把这些规则叫做“蝾螈眼”，因为它们就像魔药的配方。他偶尔发表演讲时会过于得意忘形，会把这些规则称为“密码界的法西斯主义”。“我有25个不同的账户。我需要记住25个不同的‘蝾螈眼’密码吗？这是不科学的！”

除此之外，他还提到，集中精力研究密码的复杂性变得越来越不重要，因为现在更严重的威胁是键盘记录器3354，这是一种秘密安装在你电脑中的软件，它可以通过网络监控你按下的键盘键。“不管你的密码有多聪明，只要我盯着你的键盘，你就死定了，”他说。如果想降低风险，可以改用Mac，或者把不安全的Windows XP系统升级到Windows 7，安装杀毒软件。但是最安全的方法是永远不要访问带有恶意软件的网站。而且，“如果你孙子来玩你的电脑，或者你初中的儿子进了不安全的网站，那你就完了。” “同样危险的还有“网络钓鱼”攻击，这种攻击被许多媒体大肆炒作，即和谐地包装一个电子邮件或网站，例如，伪装成你的银行的登录页面，诱骗你输入密码。(对抗“钓鱼”最基本的方法是查看你浏览器的地址栏；将鼠标悬停在链接上，以确保链接的真实性；而且不要在邮件回复里填写密码再发回来。)

也许有一天，我们再也不用担心这些东西了，也许未来会有可以完全取代密码的创新和发展。也许你可以利用触摸屏技术来检测你与计算机交互的最小差异：手指之间的距离，你点击和拖动触摸屏的速度。此外，新泽西州罗格蓑衣网小编2022斯大学的技术人员已经制作了戒指的样品。当你把它放在手指上时，它会爆发出微小的电流，并通过用户的皮肤传输到屏幕上，以确认用户的身份。指纹识别系统已经嵌入到一些便携电脑中，但是由于这项技术还存在太多的问题，目前还没有受到重视，但是还是可以改进的。不要急着放松。切斯维克说，在可预见的未来，“密码不会消失。尽管我希望密码可以消失，但它们仍然太方便了。“

同时，他还建议我做一件事，尽管为了完成这篇文章，我被自己的研究吓傻了。他让我加载一个叫“密码钱包”的软件，比如LastPass或者1Password。这些软件可以为你访问的每个网站生成一组高度随机的密码，并用主密码保存。我安装LastPass后，通过它选择了一个很长的序列，包括英文单词和数字。比如我现在不知道自己的邮箱密码是什么，以后也不会知道，但是没关系，因为LastPass可以随时告诉我密码。

这当然不是一个完美的解决方案。但是LastPass几乎在很多方面都是安全的。因为它只在用户自己的电脑上加密解密，软件公司不会知道我的主密码，也就是说如果我忘记了主密码，就没人能帮我了。(也没有需要设置安全问题的“密码恢复”。)和3354没错。——我记了下来，以加密的形式记录在一张小纸条上，小心翼翼地藏了起来。希望能快点写下密码。毕竟没有什么是绝对安全的，更没有绝对安全便捷的方法。但我认为这是一个折中可行的方法。我希望我不会忘记我把纸条藏在哪里了。

[注1] Gawker是著名的明星追踪网站。Gawker和雅虎。这两个网站都有安全漏洞。

[注2]莎拉佩林长期活跃在美国政坛。2008年，共和党提名的总统候选人约翰麦凯恩被选为副总统候选人，作为搭档参加总统选举。

【注3】《连线》是世界著名的科技杂志。

3354——-

译者：A moyz

原作者：奥利弗伯克曼

来源：译语网