提示

您还未登录或账号权限不够

保护我们的密码,还有我们的理智

本文来自“科学美国人”中文版《环球科学》

随着我们的生活变得数字化,我们精心设计的密码数量已呈爆炸式增长。保护我们的密码安全已经成为一个急需关注的话题。

  

 

(图片来源:维基百科)
先数数你有多少密码吧!
 
明尼阿波利斯市的莫亚(Rajean Moone)有很多密码——超过75个。他把大部分密码藏在一个高度机密的电子表格中。其他的则被他随手记在一些隐蔽的便利贴上,并用外语编码。
 
“这有点可笑了。”他说。
 
随着我们的生活变得数字化,我们精心设计的密码数量已呈爆炸式增长。
 
电子邮件、网上银行、社交网站、亚马逊、甚至图书馆,都需要一个密码。
 
与此同时,在日益娴熟的网络犯罪中保持密码的保密性需要更为复杂的要求。
 
然而,尽管一些科技公司搞出的像iPhone 5S上面的指纹扫描那样的小玩意,管理多个密码(通常是字母,数字和符号的组合)仍然没有万全之法。
 
绝望之下,我们中的大多数会在许多不同网站上默认一个简单的密码重复使用——这实际上就好像是一种求着黑客突破我们薄弱防御的行为。通常普通人不会是网络犯罪全力攻击的目标,但是如果那个持有我们密码的网站被攻破,我们就会受到牵连。如果被盗的密码是我们生活的万能钥匙——身份、财产、个人信息——那我们就麻烦大了。
 
“小心驶得万年船啊。”明尼苏达大学计算机科学教授约瑟夫•康斯坦(Joseph Konstan)说道。
 
但即使是康斯坦这样的人都承认最佳方式——比如每个网站都设置不同的复杂密码,实在不是个可行性很强的方案。
 
他建议用不同的复杂密码来保护金融和电邮账户中最重要的信息。但他会在一些看起来只需要让你表明身份的网站,比如基础应用和免费新闻网站,使用相同的密码。如果是康斯坦不经常上的那些网站,他会在下次访问忘记密码时重新设置一下。
 
他说,我们曾经费尽心力设计的这套密码系统实在是让人们不堪重负啊。
 
最大的一个症结是,每个网站都有自己对密码长度和复杂度的一套条条框框。一些让用户选择双重认证——一个“你知道的”和“你持有的”的组合。例如,Gmail的可选的两步安全要求是一个密码,以及发送到用户智能机上的一个验证码。推特(Twitter)在今年春天著名新闻机构账户被黑后启用了一套相似的系统。事情的起因是美联社的推特账户被盗用,盗用者发了一篇推文说白宫有炸弹,使得股票暴跌。
 
这个让人眼花缭乱的安全特性清单足以使用户大呼头痛了。“密码”已经快变成了“咒怨”。
 
“最初密码只需要你用一个单词来设置,然后你可以开始用单词和数字的组合。现在你得用单词、数字和一些符号的组合。”明尼苏达州蒙多塔高峰城的安吉拉•马特森(Angela Mattson)说,她在各种地方写满各样密码。“我都有点糊涂了。”
 
接下来就是安全验证问题,当你试图验证你的身份时,各种各样奇怪的个人琐事会让你抓狂于你的自我认识的。你第一个老师叫什么?你四年级时在哪条街住?你姥姥娘家姓是什么?
 
专家说在设置安全验证问题时最好用错误的答案。即使你姥姥的娘家姓是王,你应该说是李。这样入侵者就无法通过搜索来攻破这些问题,曾经就有个大学生这么做了——他在2008年通过答对了萨拉•佩林(Sarah Palin,阿拉斯加州州长)的生日和家庭情况黑进了她的账户。但是这就要祝你好运了——要记得那些错误的回答是什么哦!
 
明尼苏达州弗里德利的米歇尔•布鲁克斯(Michelle Brooks)最近就在重置密码时被这个问题卡住了——你童年时的绰号是什么?
 
她说:“这不光是我记不记得我小时候的绰号的问题,即使我在某一时刻回答了这个问题,我也记不起来我回答了什么了。”
 
不满于被密码塞满的文件夹,大卫•柏刚木(David Bergum)希望寻找一个更好的系统。这是一个特别棘手的问题,因为他旅居在明尼苏达州北部的小镇伊莎贝拉、北卡罗莱纳和新西兰。
 
“我受够这些纸片了,”他说,“尤其是到处跑的时候,要是我把文件夹落在这里然后去了北边,那我绝对死定了。”
 
他选择了1Password(跨平台账号密码管理工具),这个软件给不同的网站生成并记忆复杂的密码和用户名。现在他只需要记住通过他的iPhone或者浏览器登录1Password的主密码。
 
现在有各种各样的类似应用,包括 LastPass,Roboform和KeePass,他们作用方式各有不同,但都能通过加密术来保证安全。有些是免费的,另外一些则设置更多的付费功能,比如多设备同步。专家声称对于那些想保留多个密码但不想写下来的人来说,这些会是一个不错的选择。
 
明尼苏达州埃迪娜的凯蒂•雷曼(Katie Leyman),用LastPass来追踪密码,但她不是很想把自己的秘密都交给科技保管。她把大部分密码都交给LassPass,但会把电邮和金融账户的密码记在脑子里。
 
“如果你的整个身家性命都在那里,当有一天你忘记主密码的时候,你就什么也拿不回来了。”她说。“有一次我以为我把密码忘了,我呆呆地坐在那里想着,天哪,我什么也拿不到了。”
 
安全性和适用性之间的界限是很脆弱的。
 
德里克•麦斯特(Derek Meister),一个极客团队代理,说一个很重要的事是不要让复杂的安全措施吓倒用户,这样会使用户默认一些不安全的习惯,比如一直重复使用简单的密码。他建议像考虑家庭安全那样的方式来对待数字安全。这不是完美方案,但是能威慑那些意图制造麻烦的人。
 
你不是要把你的屋子弄得像诺克斯堡(美国北部军用地)那样坚不可摧,你只需把你的屋子弄得坚固到让想闯入的人一看就会说:“我还是去其他地方吧。”麦斯特说,“密码就要这样。”
 
确保你在线密码安全的几个要点:
 
在网络安全不断的斗争中,专家提供了以下要点来设置和管理你的密码保证你的信息安全。
 
*混合。理想状态,每个密码都不一样。现实世界,有很多的重复。至少,在那些风险大的网站,尤其是金融信息和电邮,他们是通向很多地方的大门——你的密码需要独一无二而且很难破解。
 
*心机词。有的黑客会试遍字典上的每个词。所以确保你的密码足够复杂。如果整个词都是你能记住的,试着用无关词语的组合来保证你的账户更安全。
 
*短语。记上一些字母、数字和符号的随机组合。如果他们有关那会更容易一点。选一个对你来说很特殊但不广为人知的词组。比如:Thanksgiving dinner includes turkey, sweet potatoes, green beans and three pies这句话每个词的首字母可以组合成Tditspb&3P。
 
*应用。智能机上有很多能帮你记密码的应用。包括 LastPass、 1Password,、Dashlane、 oneSafe 和 KeePass。它们都是开源工具。有的免费,有的需要付费才能使用所有功能。看看细节,确保它们把你的信息加密了。即使那样,专家说,你也得记住几个关键的密码(电邮、金融网站等)。这样你就不是把所有秘密都藏在一个地方了。
 
*忘记。有时,尤其是一些你不怎么用的网站,每次访问的时候重置密码就好了。也许这样需要额外的一两步,但起码比重复使用密码或是把他们记在不安全的地方好。
 
在这儿看见你的密码了?那你就该换了。
 
很多聪明人会用非常蠢的密码,而且还会一次又一次地重复使用它们。
 
最蠢的:
—密码。密码这个词仍然是最常见的例子。
—连续或重复的数字。很多人懒到用111111或者123456来做密码。
—你的名字、宠物的名字、孩子的名字、家庭成员的名字……各种名字都不行哦。
—生日或是家乡。这些都不是秘密了。
—有点心机但非独创的。比如“letmein”(让我进去)或者“trustno1”(谁也别信)。
—最喜欢的动物、运动、车型和颜色。还是再想想吧。
(翻译:时爽  审稿:顾卓雅)
 

2014年1月9日 by 汉王机器视觉