網(wǎng)絡(luò)密碼：越復(fù)雜越好？

　　斗膽讓我猜猜：你上網(wǎng)用的所有密碼——網(wǎng)上銀行、郵箱、網(wǎng)購、twitter和facebook的登陸密碼——在你腦子里是亂七八糟。你也非常清楚，訪問不同的網(wǎng)站，必須選擇一串不一樣的、排序復(fù)雜的字母、數(shù)字和符號做密碼，然后把它背下來。(先人的智慧教導(dǎo)我們密碼守則第一條：絕對絕對不能把密碼寫下來。)可是你不會真這么做，因為你知道自己的腦子沒有這種能力。于是你選擇用熟悉的單詞來注冊每一個網(wǎng)站：比如自家狗狗、你家那條街的名字，再加幾個臨時想到的排列，比如“123”作為結(jié)尾。也有可能你真的遵守了那條守則，也因此在登陸銀行賬號的時候常常被鎖起來，或不?；貞浉鞣N荒謬的安全問題的答案。(“你小時候最喜歡的運動是什么?”我現(xiàn)在就被問到這一題，可是我小時候最喜歡做的“運動”就是想方設(shè)法翹掉體育課。iTunes商店還有一個問題是問客戶他們“最不喜歡的車子”是什么。)最可怕的是，最近幾年，你還會被逼著設(shè)一個字母混合大小寫的密碼，可有哪一個正常人能記得起如此多重組合的排列呢?至少那個人肯定不會是你。

　　如果你覺得自己設(shè)的密碼太差勁了，我有個理由能讓你不那么愧疚：這樣的爛密碼是普遍存在的。上個月，PIN密碼泄露事件的分析報告顯示，大概有十分之一的人會選擇“1234”做密碼;而最近雅虎網(wǎng)安全漏洞事件也讓我們發(fā)現(xiàn)，有上千名用戶設(shè)置的密碼要么是“password(密碼)”“welcome(歡迎)”“123456”要么就是“ninja(忍者)”。人們總是會設(shè)一些爛到不行的密碼，甚至拿它去保護一些比自己的存款還重要的東西。軍事安全專家們大都知道，在冷戰(zhàn)高峰時期，美國核彈的“解鎖密碼”竟然是00000000。五年前《新聞之夜》亦曾揭露：1997年以前，英國部分核彈的鑰匙鎖，其本質(zhì)就是一個自行車的車鎖。至于怎么選擇讓彈頭在空中還是地面爆炸，只要用宜家的內(nèi)六角扳手(Allen key)就可以搞定。而這些根本就不是密碼。遇到敵方攻擊的時候，快速反擊比其他什么都重要。

　　我們的密碼處在危險之中，而這也成了邪惡的黑客和“掛羊頭”的安全測試人員一場又一場“軍備比賽”?？墒悄阒灰切﹥?nèi)行人聊聊，就知道先人的智慧其實也是值得商榷的。舉個反例：把密碼記下來可能才是一個好主意。有些老板會命令員工90天更換一次密碼，這可能并不是在提高安全性，反而是給自己惹麻煩。同樣的事情也發(fā)生在一些銀行的密碼設(shè)置規(guī)范上：密碼不能超過12個字符，不允許使用空格鍵，等等。而在所有規(guī)定之中隱藏的真相是：密碼——作為保護人們在互聯(lián)網(wǎng)上的私人資料的途徑，最后卻在根本上被違背了它的本職。我曾向一個經(jīng)驗豐富的網(wǎng)絡(luò)安全研究員比爾·切斯維克(Bill Cheswick)指教，問他有沒有辦法能一勞永逸地解決這一問題。他想了一會兒，提議道：“就把你的電腦燒掉，然后滾海邊玩兒去。”盡管你的腦子可能已經(jīng)亂得不行，但還是有既安全又不會失去理智的方法。只不過這種方法跟以前別人教你的不大一樣。

　　密碼破解手法形式多樣，然而當(dāng)中最重要的反而不是靠邪門歪道，而是靠蠻力強行攻擊。舉一個例子：有一個黑客，他潛入一家公司的服務(wù)器，準(zhǔn)備偷取一份文件，文件上記有上百萬條密令。這份文件(但愿)是被加密的，因此他不可能直接登入這個賬號。假設(shè)文件里的密令是“hello”(當(dāng)然沒那么簡單)，在文件中它就會被加密為類似“$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90”的字符。他不可能隨隨便便就把這行亂碼解開，因為他知道文件是被“單向加密”的。而他能做的，僅是將所有上百萬種可能性加入同一個加密算法進行測試，直到其中一個密碼剛好中獎，得出的結(jié)果與那一連串的亂碼相符合。只有這樣他才知道自己找到了那個密碼。(有一種附加的加密技術(shù)被稱作“salting”，它可以阻擋這種攻擊，但現(xiàn)在尚不清楚有多少公司真的使用了這項技術(shù)。)

　　這時，密碼長度所能產(chǎn)生的你無法想象的作用。假設(shè)有一個黑客的電腦每秒鐘能猜測1000種五位純字母、完全隨機、全部小寫的密碼組合，比如“fpqzy”，那最多需要3小時45分就能破解成功?，F(xiàn)在只要把密碼設(shè)成20位，破解的時間自然就會增加一點：要花650萬兆年的時間。