你的密碼安全麼？

小心你的密碼

事例：李昆侖北京振邦律師事務所合夥人王甫律師最近連續受到駭客攻擊。他的郵箱密碼被盜，導致新浪微博、博客、信箱均無法登錄。王甫向北京市公安局報警，警方答復“因無任何財產損失而無法處理，建議找網路服務商”。而網路服務商則表示，因為駭客持續攻擊王甫，連累了他所在社區的其他用戶，很多人都因為掉線而不滿。對於自己的遭遇，王甫說，“如果你不搬家或者不更換網路服務商，這種問題很難解決。”

在現代社會，密碼充斥在人們的生活中，翻開錢包，打開電腦，走進工作場所，信用卡、手機、網銀、郵箱、保險櫃、電子門禁……別的不說，光一個手機中，就有手機鎖定密碼、藍牙密碼、飛信密碼、通訊記錄查詢密碼等等。然而，如此高密度的密碼使用，卻未必能保證我們的安全。

新浪微博輸入關鍵字“密碼被盜”，可以找到55萬多條相關的結果。其中聲稱密碼被盜的既有一般用戶，也不乏經過認證的各種職業人士，如演藝人員、商人、律師、作家、員警等等。

密碼的真相

最理想的密碼設置應該既容易記憶又不易被破解，可人們在實際中往往更注重前者，卻容易忽視後者。但想像不到的是，圍繞著“密碼”，已經形成了一個新興的產業，有多少人在對別人的密碼虎視眈眈！

曾經有駭客從一個叫RocKYou的社交遊戲網站偷盜了3200萬個密碼，結果發現：其中有36.5萬人使用的密碼是“123456”或“12345”。根據密碼設置的可預見性，駭客編制了“常用密碼辭典”，這給那些試圖破解密碼的人提供了方便。

因為很難獲得足夠大的樣本，因此研究者難以準確地描述人們選用密碼的不安全性，究竟低到怎樣的一個程度。像RocKYou這樣被入侵的網站提供了較大的樣本，但是使用這類資訊進行分析研究則存在著道德方面的問題。

最近，一篇提交給某電腦安全研討會的論文引起人們的注意，作者披露了一些過去不為人知的有關密碼的真相。這個研討會是紐約的專業團體“電子和電氣工程師協會”組織的。牛津大學的約瑟夫•邦努和互聯網公司雅虎合作，得到了迄今為止最大的、包括7000萬個密碼的樣本。雖然樣本中的用戶都是匿名的，但這項研究還是發現了一些很有意思的現象。比如，年齡較大的用戶比年輕用戶的密碼安全度要高(似乎越是那些熟諳技術的年輕人，越不在意這些事)；使用德語和韓語的用戶，其設置密碼的安全度是所有用戶中最高的，而使用印尼語的用戶的密碼安全度最低。與保護敏感資訊(如信用卡)有關的密碼，只比不太重要的密碼(如遊戲用戶)的安全度略高一點兒；在用戶註冊時出現的密碼安全度提示實際上不起什麼作用；那些帳戶曾被入侵過的用戶在重置密碼時，並不比那些沒遇到過問題的用戶謹慎多少。

但是最讓電腦安全研究者感興趣的還是對這一樣本的總評：儘管各個用戶組的情況有所不同，但這7000萬用戶的密碼從總體上說仍然具有高度的可預測性，無論是對於整個樣本來說，還是對於各個用戶組來說，都可以編制出有效用於破解密碼的“詞典”。領導這一研究的約瑟夫•邦努坦率地說：“駭客猜測十次就可以破解的密碼，大約占總樣本的1%。”這在駭客看來，顯然是一個相當“令人鼓舞”的結果。

防不慎防

為了避免遭遇王甫律師那樣的無奈，就要設置一個安全且便於記憶的密碼。然而便於記憶的密碼往往有規律可循，如自己或家人的生日、電話號碼，這些密碼都不安全。要想安全，就得沒有規律性，如一串散亂的數位、字母、標點符號組合。然而這樣的密碼，別人是猜不到了，自己也不容易記住。

為了增加安全性和方便性，用戶可以將自己的密碼進行分級，如分為三級：將在論壇等通過非實名認證的註冊帳號，設置一個安全性較低的密碼，用一個密碼可以來往於各個網站之間；為郵箱、支付寶、銀行帳號設置比較複雜的密碼，密碼可以由一句中文或者英文的每個字的首字母構成，配以標點符號。為了更安全一些，還可以將網上的帳戶密碼和隨身攜帶的手機進行綁定，通過手機綁定，密碼被修改或者忘記，都可以通過手機短信找回。

用戶上網時也應該注意識別網站的安全級別，可以在流覽器上安裝一個插件，每訪問一個網站就會提示該網站的安全級別。訪問安全級別低的網站就有可能被木馬入侵，這樣無論多安全的密碼，都會通過木馬洩露給駭客。

還有一種替代方法是使用多詞密碼，又稱為“聯詞口令”。在密碼中使用幾個詞而不只是一個詞，使駭客必須猜測更多的字母。但前提是，選取的聯詞不會被熟練使用某種“聯詞字典”的人所破解。

邦努和他的同事曾經分析了網購商亞馬遜所使用的聯詞口令系統，亞馬遜在2009年10月到2012年2月容許它的美國用戶使用這個系統。他們發現，雖然聯詞口令比密碼的安全度確實高，但並不像預期的那樣理想。由四五個隨機選取的片語成的口令相當安全，但是要記住它，比記住幾個隨機選取的密碼還難。這又一次說明，人們對“容易記憶”的需要總是使駭客有機可乘。

在中國科學院資訊安全國家重點實驗室進行研究工作的張令臣表示，“密碼其實應該稱為口令，它是一種鑒別用戶身份的簡單易行的手段。在一些並不太重要或者安全要求不高的場合，口令就足以勝任了。比如在某個論壇註冊一個帳號，只是為了發表一些看法，看帖回帖，就算丟失或被人盜用帳號也無關緊要。而在安全需求更高的場合，可以聯合其他辦法提高安全性，比如綁定手機號，登錄時使用手機驗證碼，再如使用USBKey、電子口令卡、動態口令卡等。”

網站的責任

目前，惡意盜取密碼的方式主要有以下幾種。暴力破解，駭客們將一些常用的數位組合如12345，以及常見的單詞組合彙編成一本密碼詞典，再通過程式對帳戶的密碼進行猜測。登錄網站時，登錄密碼的頁面會提示使用驗證碼，就是為了確認是自然人在登錄網站，其目的就是避免這種情況的發生。第二種方式是通過木馬盜取密碼，木馬利用電腦程式漏洞侵入用戶電腦中，潛伏下來，記錄帳號密碼，再將這些資訊傳輸給木馬的“主人”。第三種方式是通過“網路釣魚”來盜取密碼，釣魚者向用戶發送帶有欺詐性的電子郵件，通知其更改密碼，而用戶更改密碼的過程就是向“釣魚人”告訴密碼的過程。

一個明顯有效的防範措施，是在密碼輸入一定次數仍不正確後，禁止登錄網站，就像自動取款機實行的辦法一樣。雖然一些超大網站如穀歌和微軟等採取了這樣的措施，但很多網站並沒有這樣做。邦努和他的同事在2010年調查了150個大型網站，其中有126個沒有猜測次數的限制。

對於有些網站來說，因為沒有什麼特別有價值的東西如信用卡資訊需要保護，密碼安全可能不是一個十分重要的問題。但是對密碼安全的寬鬆態度，會給那些安全性能好的網站也帶來問題，因為人們通常在若干不同的網站使用同樣的密碼。

張令臣認為，網站應該在密碼安全方面承擔更大的責任，“不可否認，線民的安全意識參差不齊。但是就算線民深知如何設置安全的口令，很多人也會棄之不用，因為使用時太麻煩。我認為，保證安全性是Web應用提供者應該承擔的，而不應該假設線民願意使用複雜的口令。”

360網站的一份報告顯示，2011年我國網路安全水準總體偏低，國內存在高危漏洞的網站約占36%，中危漏洞的網站約占16%，而安全的網站只有48%。張令臣說，“Web應用的提供者有技術，也有資源，而且處於核心。讓Web站點保證高安全性，肯定比讓成千上萬的線民提高安全意識要更容易些。”

網路安全的問題可能永遠沒有最終的答案，因為任何安全措施都是“煩人的”。經常坐飛機的人知道，人們希望安全，但又希望什麼事都簡單易行，這兩者總是衝突的。只要這個衝突存在，安全就不是絕對的。

——摘自《中國新聞週刊》2012年第14期