|密|

我们真的需要自己都记不住的密码吗？

发布时间:2012-01-16 13:01 作者:佚名来源:51CTO 点击:加载中...次

2004年比尔·盖茨公开宣称说这个世界将不再需要密码；然而现在微软研究院的一份报告却表示，密码或许永远不会消失，它有用着呢。

想一个单词。一个密码。它至少要有八个字节的长度，但不超过12字节。任何字节都不能重复超过两次。确保它至少包含一个字母，一个数字。事实上，它还必须以数字开头。你不能使用任何以前用过的用户名或密码。最后，在你的密码中必须使用以下字符中的一个~!@#$%^&*()_+={}[]|;:/?.,。

而且让你能够记住这个密码。你无需把它写下来，但当你之后再来到这个网站时你可能会用上它。

是不是感到很困惑？安全专家告诉我们说我们的密码要很难被猜出来，但有这么一小撮“别有用心”的网站却迫使我们想出一个根本不可能猜得到（或记住）的密码。

上述的要求来自于一家真实的网站。这个杰作出自于美国海关与边境保护署的一群安全怪才们，针对的是那些想要在线申请该机构“受信任旅客项目”的人，这样可以使他们省去入境时排长长的队伍的麻烦。

对于研究人员柯麦科·赫利（CormacHerley）和C·保罗·范奥斯浩特（PaulC.vanOoschot）来说，计算机行业无休止地强迫我们加强我们的密码是受到误导的——比起它带来的好处，要花费的工作太多。“对用户来说，安全只是次要任务。而很多网站和供应商却以为用户有闲工夫花在……额外的事情上。”渥太华卡尔顿大学计算机科学教授范奥斯浩特说道。

在一份新的研究文章中，范奥斯浩特和一名微软研究人员赫利表示，当那些IT专家不停地提醒我们密码安全时他们是在帮倒忙，原因是增强密码的建议通常忽略了真正恐怖有效的攻击。“用户们天天听到关于选择强密码的建议，但他们了解到的关于网络欺诈的建议就要少很多了。”他们在文章中如此写道，“对于那些用键盘登陆的用户来说，没有什么比运行反病毒软件，打好软件补丁更重要的了。”

简而言之，用户喜欢的是简单的答案，而非那些他们“不得不听”的信息。

世界首次数据泄露？

密码泄露问题早在上世纪60年代就出现了。但首次有记录的密码泄露事件发生在1966年，问题出在传奇般的麻省理工学院的兼容分时系统（CTSS）上。CTSS是IBM公司生产的7094型主机，可以进行一种新型的多用户交互式编程。在CTSS造出来的那个年代，电脑运行程序是整个运行，并且即刻执行每个步骤，但CTSS允许多位用户同时登陆并编写程序。为了管理多个用户，密码就诞生了。

一天，一个软件bug出现了：当用户登录时本该显示欢迎界面，但此时却显示出了整个密码文档。“任何登陆的用户都会发现，原本应该显示每日信息的地方显示的却是整个用户密码文档。”CTSS项目的领导人费尔南多·J·卡波特（FernandoJ.Corbató）回忆25年前的这次事件时说道，“这个情况持续了15到20分钟，直到一名特别认真的用户将之报告给系统管理员。”

这之后每个人的密码都必须重设。当然了，这个故障发生在周五晚上五点，一个通常发生技术故障的时刻。

这次事件被1979年一份很有影响力的关于密码安全的论文所引用，作者为Unix重量级人物罗伯特·莫里斯（RobertMorris）和肯·汤姆逊（KenThompson）。在这篇论文中，他们将这次事件称为“关键词搜索”攻击——攻击者不断地尝试不同的密码，直至有一个成功。现在我们把这种攻击叫做“暴力破解”攻击，特别是在现代强大的微处理器的帮助下，这种做法行之有效。一台现代的电脑能很轻松的生成数以亿计的密码组合并不断尝试，直到碰到一个正确的。而这种攻击正是你那种冗长、复杂、难以记忆的密码所要面对的挑战。

但对于网站来说，还有更简单的方法。攻击者可以生成一个相似的页面，或者迫使用户在一系列失败的登陆后等上几分钟。这种登陆破解方法比暴力破解更能有效地对付网页的登陆页面。

这种方法看起来很有效。对于那些访问量极大的网站——包括那些被诈骗犯一直盯住的网站——允许你为你的账户设置十分简单的密码。比如你可以在Amazon.com创建一个密码为“aaaaaa”的账户。这个密码用暴力破解法几秒钟就能被猜到，但亚马逊就是允许你使用它。

在另一份论文中，赫利总结说许多世界上规模最大、访问量最多的网站使用弱密码政策并没有什么太大问题，而一些隐秘的政府和大学网站却要求严格。为什么？因为政府和大学网站并不是很在乎网站有多么难用。“当不存在支持易用性的声音或它比较弱时，安全政策就会变得不必要的严格起来。”赫利和另一位微软研究员丹尼尔·弗洛兰溪（DineiFlorencio）写道。

似乎每个人都认为使用强密码是个好主意，但越来越多的电脑专家表示强密码不再像汤姆孙和莫里斯写出那份开创性的论文时这么重要了。有些专家甚至表示在一些场合使用弱密码完全没有问题。你当然希望为你的在线银行设置一个特别而又极端强的密码，但当你登陆美国广播公司的Kids栏目时你也想用这种密码吗？为何不尝试用一个不太会被猜到的字母组合呢？

“这不是因为人们现在不再破解密码，而是因为真正的弱点不在于此。”哥伦比亚工程学校计算机科学教授斯蒂芬·巴洛芬（StevenBellovin）说道。他表示如果你担心你的密码被猜出来，还不如担心你被网络钓鱼或者键盘操作被记录呢。

如果一个罪犯打算闯入一家公司窃取数据的话，吊诡的是他会使用默认密码——对于远程控制的现金出纳机系统来说这是个大问题——或是使用键盘记录软件偷来的密码，VerizonBusiness调查反应主任布莱恩·萨丁（BryanSartin）说道。“在我们所看到的所有的被猜出的密码中——尤其是那些破解初始阶段的密码——大多数实际上根本用不着破解。”他说道，“很多密码我们早就知道了。”

密码的重复使用对于使用者来说是一大隐患。网站可以屏蔽连续不断的登录请求，但要是它本身就被攻破了呢？“如果一个网站被攻破了，并且保存的密码被暴力破解，而一些密码又被用在别处，那你就遇上大麻烦了。”一家总部位于米兰的安全咨询公司“安全网络”的主席斯蒂法诺·赞让诺（StefanoZanero）说道。

(责任编辑：)