小心密碼

李昆侖

北京振邦律師事務所合伙人王甫律師最近連續(xù)受到黑客攻擊。他的郵箱密碼被盜，導致新浪微博、博客、信箱均無法登錄。王甫向北京市公安局報警，警方答復“因無任何財產(chǎn)損失而無法處理，建議找網(wǎng)絡服務商”。而網(wǎng)絡服務商則表示，因為黑客持續(xù)攻擊王甫，連累了他所在小區(qū)的其他用戶，很多人都因為掉線而不滿。對于自己的遭遇，王甫說，“如果你不搬家或者不更換網(wǎng)絡服務商，這種問題很難解決?！?/p>

在現(xiàn)代社會，密碼充斥在人們的生活中，翻開錢包，打開電腦，走進工作場所，信用卡、手機、網(wǎng)銀、郵箱、保險柜、電子門禁…… 別的不說，光一個手機中，就有手機鎖定密碼、藍牙密碼、飛信密碼、通訊記錄查詢密碼等等。然而，如此高密度的密碼使用，卻未必能保證我們的安全。

在本刊發(fā)稿時，新浪微博輸入關鍵詞“密碼被盜”，可以找到55萬多條相關的結果。其中聲稱密碼被盜的既有一般用戶，也不乏經(jīng)過認證的各種職業(yè)人士，如演藝人員、商人、律師、作家、警察等等。

密碼的真相

最理想的密碼設置應該既容易記憶又不易被破解，可人們在實際中往往更注重前者，卻容易忽視后者。但想象不到的是，圍繞著“密碼”，已經(jīng)形成了一個新興的產(chǎn)業(yè)，有多少人在對別人的密碼虎視眈眈！

曾經(jīng)有黑客從一個叫RockYou的社交游戲網(wǎng)站偷盜了3200萬個密碼，結果發(fā)現(xiàn)：其中有36.5萬人使用的密碼是“123456”或“12345”。根據(jù)密碼設置的可預見性，黑客編制了“常用密碼辭典”，這給那些試圖破解密碼的人提供了方便。

因為很難獲得足夠大的樣本，因此研究者難以準確地描述人們選用密碼的不安全性，究竟低到怎樣的一個程度。像RockYou這樣被入侵的網(wǎng)站提供了較大的樣本，但是使用這類信息進行分析研究則存在著道德方面的問題。

最近，一篇提交給某電腦安全研討會的論文引起人們的注意，作者披露了一些過去不為人知的有關密碼的真相。這個研討會是紐約的專業(yè)團體“電子和電氣工程師協(xié)會”組織的。牛津大學的約瑟夫·邦努和互聯(lián)網(wǎng)公司雅虎合作，得到了迄今為止最大的、包括7000萬個密碼的樣本。雖然樣本中的用戶都是匿名的，但這項研究還是發(fā)現(xiàn)了一些很有意思的現(xiàn)象。比如，年齡較大的用戶比年輕用戶的密碼安全度要高（似乎越是那些熟諳技術的年輕人，越不在意這些事）；使用德語和韓語的用戶，其設置密碼的安全度是所有用戶中最高的，而使用印尼語的用戶的密碼安全度最低。與保護敏感信息（如信用卡）有關的密碼，只比不太重要的密碼（如游戲用戶）的安全度略高一點兒；在用戶注冊時出現(xiàn)的密碼安全度提示實際上不起什么作用；那些賬戶曾被入侵過的用戶在重置密碼時，并不比那些沒遇到過問題的用戶謹慎多少。

但是最讓電腦安全研究者感興趣的還是對這一樣本的總評：盡管各個用戶組的情況有所不同，但這7000萬用戶的密碼從總體上說仍然具有高度的可預測性，無論是對于整個樣本來說，還是對于各個用戶組來說，都可以編制出有效用于破解密碼的“詞典”。領導這一研究的約瑟夫·邦努坦率地說：“黑客猜測十次就可以破解的密碼，大約占總樣本的1%?！边@在黑客看來，顯然是一個相當“令人鼓舞”的結果。

防不勝防

為了避免遭遇王甫律師那樣的無奈，就要設置一個安全且便于記憶的密碼。然而便于記憶的密碼往往有規(guī)律可循，如自己或家人的生日、電話號碼，這些密碼都不安全。要想安全，就得沒有規(guī)律性，如一串散亂的數(shù)字、字母、標點符號組合。然而這樣的密碼，別人是猜不到了，自己也不容易記住。

為了增加安全性和方便性，用戶可以將自己的密碼進行分級，如分為三級：將在論壇等通過非實名認證的注冊賬號，設置一個安全性較低的密碼，用一個密碼可以來往于各個網(wǎng)站之間；為郵箱、支付寶、銀行賬號設置比較復雜的密碼，密碼可以由一句中文或者英文的每個字的首字母構成，配以標點符號。為了更安全一些，還可以將網(wǎng)上的賬戶密碼和隨身攜帶的手機進行綁定，通過手機綁定，密碼被修改或者忘記，都可以通過手機短信找回。

用戶上網(wǎng)時也應該注意識別網(wǎng)站的安全級別，可以在瀏覽器上安裝一個插件，每訪問一個網(wǎng)站就會提示該網(wǎng)站的安全級別。訪問安全級別低的網(wǎng)站就有可能被木馬入侵，這樣無論多安全的密碼，都會通過木馬泄露給黑客。

還有一種替代方法是使用多詞密碼，又稱為“聯(lián)詞口令”。在密碼中使用幾個詞而不只是一個詞，使黑客必須猜測更多的字母。但前提是，選取的聯(lián)詞不會被熟練使用某種“聯(lián)詞字典”的人所破解。

邦努和他的同事曾經(jīng)分析了網(wǎng)購商亞馬遜所使用的聯(lián)詞口令系統(tǒng)，亞馬遜在2009年10月到2012年2月容許它的美國用戶使用這個系統(tǒng)。他們發(fā)現(xiàn)，雖然聯(lián)詞口令比密碼的安全度確實高，但并不像預期的那樣理想。由四五個隨機選取的詞組成的口令相當安全，但是要記住它，比記住幾個隨機選取的密碼還難。這又一次說明，人們對“容易記憶”的需要總是使黑客有機可乘。

在中國科學院信息安全國家重點實驗室進行研究工作的張令臣表示，“密碼其實應該稱為口令，它是一種鑒別用戶身份的簡單易行的手段。在一些并不太重要或者安全要求不高的場合，口令就足以勝任了。比如在某個論壇注冊一個賬號，只是為了發(fā)表一些看法，看帖回帖，就算丟失或被人盜用賬號也無關緊要。而在安全需求更高的場合，可以聯(lián)合其他辦法提高安全性，比如綁定手機號，登錄時使用手機驗證碼，再如使用USB Key、電子口令卡、動態(tài)口令卡等?！?/p>

網(wǎng)站的責任

目前，惡意盜取密碼的方式主要有以下幾種。暴力破解，黑客們將一些常用的數(shù)字組合如12345，以及常見的單詞組合匯編成一本密碼詞典，再通過程序對賬戶的密碼進行猜測。登錄網(wǎng)站時，登錄密碼的頁面會提示使用驗證碼，就是為了確認是自然人在登錄網(wǎng)站，其目的就是避免這種情況的發(fā)生。第二種方式是通過木馬盜取密碼，木馬利用計算機程序漏洞侵入用戶電腦中，潛伏下來，記錄賬號密碼，再將這些信息傳輸給木馬的“主人”。第三種方式是通過“網(wǎng)絡釣魚”來盜取密碼，釣魚者向用戶發(fā)送帶有欺詐性的電子郵件，通知其更改密碼，而用戶更改密碼的過程就是向“釣魚人”告訴密碼的過程。

一個明顯有效的防范措施，是在密碼輸入一定次數(shù)仍不正確后，禁止登錄網(wǎng)站，就像自動取款機實行的辦法一樣。雖然一些超大網(wǎng)站如谷歌和微軟等采取了這樣的措施，但很多網(wǎng)站并沒有這樣做。邦努和他的同事在2010年調(diào)查了150個大型網(wǎng)站，其中有126個沒有猜測次數(shù)的限制。

對于有些網(wǎng)站來說，因為沒有什么特別有價值的東西如信用卡信息需要保護，密碼安全可能不是一個十分重要的問題。但是對密碼安全的寬松態(tài)度，會給那些安全性能好的網(wǎng)站也帶來問題，因為人們通常在若干不同的網(wǎng)站使用同樣的密碼。

張令臣認為，網(wǎng)站應該在密碼安全方面承擔更大的責任，“不可否認，網(wǎng)民的安全意識參差不齊。但是就算網(wǎng)民深知如何設置安全的口令，很多人也會棄之不用，因為使用時太麻煩。我認為，保證安全性是Web應用提供者應該承擔的，而不應該假設網(wǎng)民愿意使用復雜的口令?！?/p>

360網(wǎng)站的一份報告顯示，2011年我國網(wǎng)絡安全水平總體偏低，國內(nèi)存在高危漏洞的網(wǎng)站約占36%，中危漏洞的網(wǎng)站約占16%，而安全的網(wǎng)站只有48%。張令臣說，“Web應用的提供者有技術，也有資源，而且處于核心。讓Web站點保證高安全性，肯定比讓成千上萬的網(wǎng)民提高安全意識要更容易些?！?/p>

網(wǎng)絡安全的問題可能永遠沒有最終的答案，因為任何安全措施都是“煩人的”。經(jīng)常坐飛機的人知道，人們希望安全，但又希望什么事都簡單易行，這兩者總是沖突的。只要這個沖突存在，安全就不是絕對的。