網(wǎng)絡(luò)給人們帶來了巨大的便利，我們有了在線銀行、電子郵箱、微博、微信，還有各種云服務(wù)?？墒请S著賬戶不斷增加，它們的安全性卻越來越差，因為一串密碼早已無法保護我們的個人信息。

知道嗎？你有一個可以徹底毀掉你的秘密，一個保守得不太好的秘密。一串簡單的數(shù)字可能會透露你的一切，如果你比較粗心，這串?dāng)?shù)字只有6位，而如果你比較謹(jǐn)慎，這串?dāng)?shù)字可能是16位。

自從信息時代拉開帷幕，我們就想當(dāng)然地認(rèn)為精心設(shè)計的密碼可以保護隱私，可以保護你的郵箱、銀行賬號、地址、信用卡號，你孩子的照片或者更糟的是你的裸照，但是2012年這個神話破滅了，不管你的密碼設(shè)計得多么復(fù)雜多么獨特，都無法保護你賬戶的安全。

如今泄密和轉(zhuǎn)儲越來越普遍，黑客會侵入系統(tǒng)把所有的用戶名和密碼都曬到網(wǎng)上。現(xiàn)在人們習(xí)慣用郵箱作為用戶名，這很可能造成災(zāi)難性的后果，由于我們把很多信息存放在云存儲器上，所以通過蒙騙客服重置密碼越來越困難，但黑客開始利用從網(wǎng)絡(luò)上獲取的各種公開信息侵入你的其他賬號。

不管你多么小心，也不管你的密碼多么復(fù)雜，都無法阻止一個處心積慮、充滿惡意的人侵入你的賬戶。

2012年夏天，黑客僅用了一個小時就徹底摧毀了Amy的數(shù)字生活。她的Apple、Twitter和Gmail的密碼設(shè)計得很好，分別有7位、10位和19位，都包含數(shù)字和字母，有的還有字符，但是這3個賬戶是相互關(guān)聯(lián)的，一旦破譯出一個密碼就可以輕松侵入其他賬戶。因為Amy有很多粉絲，所以這些黑客想要控制她的Twitter賬戶，拖延她找回密碼的時間，就通過Apple賬戶侵入了她所有的設(shè)備，包括iPhone、iPad和MacBook，并刪掉了上面所有的內(nèi)容。

自那天之后，Amy就開始研究網(wǎng)絡(luò)安全，結(jié)果讓她驚出一身冷汗，“我們的數(shù)字世界真是太危險了。比如我想侵入你在美國在線（AOL）上的郵箱，我要做的就是向這個網(wǎng)站提供你的名字和一些個人信息，比如你出生的城市，這些資料在谷歌上很容易找到，然后AOL就會重置密碼，這樣我就可以隨意瀏覽你的郵件了。”

“猜猜知道這些后我會做什么？首先是查出你在哪申請了網(wǎng)上銀行，登錄點擊忘記密碼，然后重置密碼并重新注冊，這樣我就可以控制你的存款賬戶了?！北M管現(xiàn)在一些安全漏洞已經(jīng)被堵住，但是還有很多問題存在，而且每天都會出現(xiàn)新的漏洞。

所有的問題都出自密碼。在電腦還不像現(xiàn)在這樣高度關(guān)聯(lián)的時代，密碼確實管用，然而今天不管你做什么，不管你多么小心，也不管你的密碼多么復(fù)雜，都無法阻止一個處心積慮、充滿惡意的人侵入你的賬戶。密碼的時代已經(jīng)過去，我們只是還沒意識到而已。

人類很早就開始使用密碼，而它一誕生就開始有人破譯。

公元前413年，伯羅奔尼撒戰(zhàn)爭打得正酣，希臘將軍狄摩西尼率5000士兵在西西里島登陸，準(zhǔn)備襲擊錫拉庫扎。形勢對希臘非常有利，而錫拉庫扎似乎必輸無疑。

狄摩西尼的軍隊在夜晚混戰(zhàn)中被打散了，為了重新集結(jié)，希臘人開始高喊事先約定好的用于區(qū)分?jǐn)秤训陌堤枴ｅa拉庫扎人注意到了這個暗號，當(dāng)遇到希臘人的大部隊時他們就會喊出暗號佯裝友軍。利用這條策略，弱小的錫拉庫扎人打敗了入侵者，這次戰(zhàn)役成為了那場戰(zhàn)爭的轉(zhuǎn)折點。

第一臺使用密碼的計算機是MIT（麻省理工學(xué)院）在1961年開發(fā)的相容時間分配系統(tǒng)（CTSS），為了限制用戶使用的時間，CTSS設(shè)定了一個登錄程序。1962年，為了獲得更多的使用時間，一個名叫艾倫·謝爾的博士生用了一個簡單的手段騙過了登陸系統(tǒng)，他找到了包含所有用戶名和密碼的文件，然后把它們打印下來，從那以后，他的上機時間不再受到限制。

網(wǎng)絡(luò)時代初期，密碼非常管用，這主要是因為那時我們需要保護的數(shù)據(jù)非常少，最多就是郵箱和幾個電商網(wǎng)站的賬戶。那時獲取個人信息也不容易，而且侵入私人賬戶沒有意義，真正的黑客都把目標(biāo)鎖定在大公司的信息系統(tǒng)。所以我們開始放松警惕，郵箱地址變成了一種通用的登陸方式，幾乎成為所有賬號的用戶名，即便當(dāng)我們的賬號數(shù)量瘋狂增長后，依然如此?，F(xiàn)在我們通過郵箱地址進入一系列云服務(wù)，在那里我們處理銀行業(yè)務(wù)、查看交易記錄、進行稅務(wù)處理，我們甚至開始在那里儲存自己的照片、文件和數(shù)據(jù)。

最終，當(dāng)侵入個人賬戶的情況愈演愈烈，人們開始尋求一種奇怪的心理安慰：他們開始尋求更安全的密碼保護，這也成了很多網(wǎng)絡(luò)公司吸引人們在其網(wǎng)站注冊并儲存信息的噱頭。

面對現(xiàn)實世界，任何一個安全系統(tǒng)都必須做出兩樣妥協(xié)。

一是方便，如果難以登陸，那么最安全的系統(tǒng)并不意味著就是最好的，256位的十六進制密碼可以確保安全，但你可能永遠(yuǎn)無法進入自己的賬戶。如果你不怕麻煩，提高賬戶的安全性非常容易，但這并不可行。第二個妥協(xié)是隱私，如果只考慮系統(tǒng)安全，那么任何用戶都無法忍受在使用過程中對隱私的踐踏。設(shè)想一下在你的臥室里安裝上門禁會怎樣？那里原本不需要鑰匙或者密碼，因為安全技術(shù)應(yīng)該全天候應(yīng)用在大門上，當(dāng)確認(rèn)是你后門禁自動取消。理想情況下，如果沒有隱私，那么賬戶將非常安全，但是沒有人會接受這樣的系統(tǒng)。

20年來，各大網(wǎng)絡(luò)公司對這兩點作出了巨大的讓步，為了吸引用戶，他們的系統(tǒng)設(shè)計既保護了人們的隱私又使用方便，然而安全性卻大打折扣。作為彌補措施，他們建議把密碼設(shè)計得更復(fù)雜，只要密碼足夠長、里面既包含數(shù)字又包含字母，再加上標(biāo)點符號，那就萬事大吉了。

然而事實并非如此。現(xiàn)在一臺筆記本的處理能力比10年前的一臺高端工作站都強，破解一個長密碼輕而易舉，而且新的黑客技術(shù)層出不窮，盜取我們的密碼猶如探囊取物，更重要的是黑客可以完全不用密碼直接攻擊我們的賬戶，因此不管密碼設(shè)計得多長多復(fù)雜都是徒勞。

為什么我們的密碼會如此不堪一擊？

讓我們設(shè)想下黑客可能的手段：他們猜的、從一次密碼泄露事件中獲取的、破解的、通過鍵盤記錄器盜取的或者是欺騙客服重置了密碼。

讓我們從最簡單的黑客手段說起：猜測。事實證明，粗心大意是網(wǎng)絡(luò)安全最大的敵人。盡管被反復(fù)警告，很多人還是會使用容易被預(yù)測的密碼。安全顧問馬克·伯內(nèi)特編制了一本包含10000個最常用密碼的小冊子，他發(fā)現(xiàn)人們最常用的密碼就是“密碼”（注：英文的password），其次是什么？沒錯，就是123456，如果你用這樣的密碼，侵入你的賬戶簡直是小菜一碟。利用一些免費的軟件，傻子都能破譯密碼，你要做的就是從網(wǎng)上下載一份常用的密碼清單。

可令人震驚的不是我們還繼續(xù)用這些密碼，而是一些公司仍然準(zhǔn)許使用，他們應(yīng)該阻止這些常用的密碼被設(shè)定為密碼，但是即便改掉了這個壞習(xí)慣，我們的密碼仍然不安全。我們普遍犯的另一個錯誤是重新使用密碼。研究發(fā)現(xiàn)，49%的人會在兩次黑客襲擊中使用同樣的用戶名和密碼。

谷歌認(rèn)證系統(tǒng)工程師戴安娜-斯莫特說：“重新使用被盜密碼是最讓我們頭疼的事情。”通常把用戶名和密碼貼到網(wǎng)上的黑客還算好的，有些人會把這些信息偷偷地出售。你的賬戶很可能已經(jīng)被侵入，但是你卻毫不知情，直到這個賬戶或者另一個用同樣密碼的賬戶被毀以后。

黑客還會通過一些手段來獲取密碼，最有名的技術(shù)就是釣魚，通常他們會模擬一個人們熟悉的網(wǎng)站，然后要求用戶輸入登陸信息。Shipley Energy的CTO史蒂夫·唐尼告訴我一個關(guān)于這項技術(shù)如何侵入他們公司一位董事賬戶的例子。為了保護其郵箱，這個董事設(shè)了非常復(fù)雜的密碼，但是如果能讓用戶主動提供密碼，你根本不需要去破解。

黑客給她發(fā)送了一個偽造的AOL網(wǎng)頁并向她詢問密碼，她照做了，此后一直相安無事。最初黑客一直潛伏著，他閱讀了這位董事所有的郵件并逐漸對她有了了解，黑客知道了她把錢存在哪個銀行，她雇傭了一個會計師幫她打理財務(wù)，黑客甚至知道了她使用電腦的習(xí)慣，她常說的話和常用的問候語。終于有一天，黑客給她的會計師發(fā)了郵件，要求分三筆給黑客在澳大利亞的賬戶轉(zhuǎn)12萬美元，而當(dāng)這位董事發(fā)現(xiàn)的時候已經(jīng)轉(zhuǎn)走了8.9萬美元。

使用病毒軟件是更為惡毒的盜取密碼的辦法，將病毒植入你的電腦然后偷偷把你的數(shù)據(jù)傳給別人。根據(jù)威瑞森的報告，2011年有69%的數(shù)據(jù)泄漏事件都是因為病毒軟件的攻擊，這些病毒在Windows系統(tǒng)中傳播，現(xiàn)在越來越多的開始在安卓系統(tǒng)中傳播。這些病毒的工作原理是在你的電腦上安裝鍵盤監(jiān)視軟件或者其他間諜軟件，這些軟件可以看到你輸入的東西或者是瀏覽的網(wǎng)頁。它們的目標(biāo)通常是大的機構(gòu)組織，目的不僅僅是偷密碼，而是要侵入整個系統(tǒng)。比如，2007年出現(xiàn)的ZeuS就是一種非常厲害的病毒，通常釣魚軟件會發(fā)送一個詐騙鏈接，只要點擊一下，病毒就會自動安裝到你的電腦里，然后這個軟件就等著你登錄網(wǎng)上銀行或者其他賬戶，只要你進行這樣的操作，ZeuS就會記住你的密碼，然后發(fā)送給守候著的黑客。

如果密碼問題僅限于此，那我們還是可以應(yīng)對的。我們可以不用被貼出來的密碼和用戶名，我們可以對釣魚軟件更加警惕，我們還可以用殺毒軟件把病毒都消掉。

但是我們還必須應(yīng)對最薄弱的環(huán)節(jié)：人類的記憶。為了不被破譯或者猜出來，密碼必須非常復(fù)雜。但是如果密碼過于復(fù)雜，你很可能會把它忘掉。因此，很多基于密碼的系統(tǒng)都可以幫助你重置密碼，這種不得不做的妥協(xié)意味著恢復(fù)一個被遺忘的密碼不能太難，然而這又讓你的賬戶很容易被社交工程手段攻擊。盡管“社交”手段只占黑客攻擊事件的7%，但是其盜取的數(shù)據(jù)卻占37%。

也許你會認(rèn)為這種事不會發(fā)生在自己身上，只有名人才會惹人關(guān)注，但是你有沒有想過，你的LinkedIn（領(lǐng)英，全球最大的職業(yè)社交網(wǎng)站）賬戶、Facebook或者其他親朋好友的賬戶？如果你經(jīng)常上網(wǎng)，那么回答你的問題并不困難。你媽媽的名字、你高中的吉祥物、你的生日以及你最好的朋友都可以在相應(yīng)的社交網(wǎng)站被查到。

到底是誰這么不遺余力地要毀掉你的生活？

那么，到底什么人會做這些事？這些人大致可以分為兩類，海外犯罪團伙以及討厭的孩子，不管哪一類都讓人緊張。

犯罪團伙效率高而且非常頻繁。曾經(jīng)寫惡意軟件或者病毒程序只是一些黑客的業(yè)余愛好，但現(xiàn)在不是了，最近幾年早已演變成了有組織的犯罪。他們的動機非常簡單：錢。

一些年輕人也讓人頭疼，盜取Amy賬戶的人是一個綽號“Dictate”的14歲孩子。和傳統(tǒng)意義上的黑客不同，他只是和網(wǎng)站聯(lián)系要求重置密碼。他們這樣的人會從網(wǎng)上先搜集你的信息：你的名字、郵箱、家庭地址等，這些都很容易找到。然而，他們用這些信息重置你在Hulu和Netflix的密碼，從中再獲取更多的信息，比如你信用卡的后四位數(shù)字。一旦他有了這個數(shù)字就可以進入你的AOL、微軟以及其他重要賬戶，而且通過不斷地嘗試，他很快就能看到你的郵箱、照片和其他重要文件。為什么這些孩子會這樣做？大部分是為了惡作劇，他們最喜歡做的事就是在你的個人賬戶上發(fā)布種族歧視言論或者其他攻擊性的信息。

有這些孩子在，密碼系統(tǒng)就不會安全。我們不可能把他們都抓起來，就算可以，也還會有新人出現(xiàn)。任何適合65歲人的密碼系統(tǒng)幾秒鐘就會被14歲的黑客攻陷，這就是我們面臨的難題。

基于同樣的原因，很多人們想出來保護或者彌補密碼問題的高招都變得無效。經(jīng)常有人說，Gmail的雙重認(rèn)證非常神奇，首先你必須在谷歌注冊你的手機號，然后只要你在一個陌生的IP地址登陸，谷歌就會發(fā)一個附加碼到你的手機上，這就是第二重保護。這樣就有效了嗎？讓Amy來告訴你馬修·普林斯的遭遇。

2012年夏天，黑客盯上了CloudFlare的CEO普林斯。他們想侵入普林斯的谷歌賬戶，但是這個賬戶有雙重保護，他們是怎么做的？首先黑掉他的AT&T手機賬戶。AT&T使用社保號作為密碼，只要給運營商這9位數(shù)字甚至只需要4位，外加姓名、電話號碼以及郵寄地址等信息，就可以實現(xiàn)呼叫轉(zhuǎn)移，而現(xiàn)在獲取社保號碼太容易了，這些號碼在網(wǎng)上公開售賣，而且想要誰的都有。侵入普林斯的AT&T賬戶后，黑客要求谷歌的客服重置普林斯的密碼，而谷歌的確認(rèn)信息轉(zhuǎn)到了黑客那里，總之就是這么簡單，雙重保護只是給黑客添了點麻煩而已。

互聯(lián)網(wǎng)上沒有秘密，只要點擊幾下鼠標(biāo)就可能知道一切。

密碼的時代已經(jīng)過去了，只是我們還沒有意識到，沒有人知道未來該朝何處發(fā)展，但是可以肯定地說，僅通過一個秘密已經(jīng)無法保護我們的數(shù)據(jù)了，不管這個秘密是一串?dāng)?shù)字、十串?dāng)?shù)字或者是回答50個問題。

我們的安全系統(tǒng)應(yīng)該圍繞用戶來設(shè)計：我們是誰，我們做了什么，我們什么時候去了哪里，我們身上帶著什么或者在什么地方做了什么等。每一個重要的賬戶都需要提供多個信息，不能只有兩個更不能只有一個。

最后一點至關(guān)重要，谷歌的雙重驗證思路很好，但是他們應(yīng)該繼續(xù)推進，因為雙重保護顯然不夠。想一想當(dāng)你在街上看到一個人，覺得他可能是你的一位朋友，你不會和他要身份證驗證。你會有一個綜合的判斷，他換了新發(fā)型，他穿的是自己的夾克嗎？他的聲音變化了么？他是在自己經(jīng)常出沒的地方嗎？如果這些線索都不匹配，你不會只相信他的身份證，即便看上去很像，你也會覺得他是冒牌的。

未來的網(wǎng)絡(luò)身份驗證系統(tǒng)應(yīng)該這么設(shè)計，盡管仍可能包括密碼，但其功能就像上面說到的身份證，密碼只能是多重驗證系統(tǒng)中的一個。

生物鑒定法可行嗎？也許是電影看多了，很多人認(rèn)為指紋識別或者眼角膜掃描可以取代密碼的功能，單一驗證并且可以迅速識別，但是這兩個方法都有缺陷，首先支持它們的系統(tǒng)并不存在，這就像一個雞生蛋還是蛋生雞的問題，指紋識別和眼角膜掃描系統(tǒng)價格昂貴而且經(jīng)常出問題，因此沒有人用，而正因為沒有人用，所以它們永遠(yuǎn)不會變得更好更便宜。

第二個也是最重要的問題是單一驗證系統(tǒng)存在的硬傷：指紋識別或者眼角膜掃描只能提供單一的數(shù)據(jù)驗證，而單一數(shù)據(jù)很容易被盜取。盡管眼角膜識別在電影里看著非常炫，但在高清晰攝影時代，如果用你的臉、眼鏡或者指紋作為單一驗證手段，就意味著任何人都可以侵入你的賬戶。

這是危言聳聽嗎？絕對不是。凱文·米特尼克開了家網(wǎng)絡(luò)安全公司，他曾是FBI通緝的黑客。有一家公司雇傭他闖入自己的系統(tǒng)，然后告訴雇主他是怎么做的。該客戶使用了聲音識別系統(tǒng)，為了進入系統(tǒng)，你必須重復(fù)一段隨機產(chǎn)生的數(shù)字，同時保證順序和說話者的聲音是匹配的。米特尼克給他的客戶打了電話，并記錄了談話內(nèi)容，期間他誘導(dǎo)客戶說了從0～9的所有數(shù)字，然后他對錄音進行了處理，并在識別系統(tǒng)前播放錄制的數(shù)字讀音，安全系統(tǒng)就這樣被輕易攻破了。

當(dāng)然，并不是說生物鑒別毫無用處，需要生物驗證的設(shè)備還是要使用它們。但是，如果你要從一個陌生的地方登錄自己的銀行賬戶，那就要更多的步驟，你可能對著麥克說一段話然后進行匹配，或者用手機相機抓拍你的臉部照片發(fā)送給3個好友，必須有其中一個人確認(rèn)后你才能進行下一步的操作。

谷歌公司正在朝這個方向發(fā)展，除了雙重驗證以外，他們還要看每次登錄和上一次的相關(guān)性，比如地點、設(shè)備以及其他谷歌沒披露的信息。如果發(fā)現(xiàn)異常，谷歌將要求用戶回答賬戶預(yù)設(shè)的問題，如果無法回答問題，谷歌將發(fā)送消息給用戶要求他改變密碼。

新的認(rèn)證系統(tǒng)很可能會要求我們在方便和隱私方面重新作出權(quán)衡。顯然多重驗證不方便，為了進入賬戶，你必須完成很多步驟，但更重要的是你必須犧牲更多的隱私，安全系統(tǒng)可能要獲取你的位置、愛好、講話方式甚至是關(guān)于你的一切。

為了更好的身份驗證，我們必須作出妥協(xié)、有所犧牲，我們不可能回到過去，放棄云服務(wù)把自己的信息都裝到硬盤里，我們需要一個認(rèn)證系統(tǒng)確保我們繼續(xù)享受云技術(shù)。這可能需要巨額投資并帶來極大的不便，同時讓注重隱私的人不安，但已經(jīng)無法避免?，F(xiàn)在我們把自己的一切都交付給一個不安全的系統(tǒng)，因此第一步是要正視現(xiàn)實，第二步則是要改變它。

延伸閱讀

個人信息泄密這樣防護

◆網(wǎng)購泄密

泄密渠道：在網(wǎng)購中，一些店鋪遲遲不發(fā)貨，賣家聯(lián)系不上，這時，個人地址與手機號碼可能落到賣家手里，他們完全可以進行倒賣。

防護措施：不要隨便在軟件網(wǎng)站上填寫個人的詳細(xì)信息。網(wǎng)購時地址盡量不使用公司名、不要具體到居室、不要使用真名、不要留公司電話。

◆手機泄密

泄密渠道：聊天工具一旦被授權(quán)登錄，個人信息將不再是秘密。

防護措施：手機通訊錄、短信等涉及安全問題的權(quán)限一定要逐個核實并關(guān)閉。照片、通訊錄等信息同步要慎重設(shè)置。

◆認(rèn)證掃描泄密

泄密渠道：很多人在打印店掃描之后不要求店家刪除掃描文件，實際上是一個危險隱患。

防護措施：文件掃描后要刪除。涉及銀行賬戶信息、個人信息單據(jù)要銷毀字跡后再丟棄。調(diào)查問卷涉及到個人信息的部分，填寫要慎重。